Команда AWS устранила уязвимость безопасности облачного комплекта разработки, которая могла привести к полному захвату учетной записи
Команда AWS устранила уязвимость безопасности облачного комплекта разработки, которая могла привести к полному захвату учетной записи. Фото: СС0
AWS Cloud Development Kit (CDK) — это фреймворк разработки программного обеспечения с открытым исходным кодом, который позволяет разработчикам определять облачную инфраструктуру с помощью знакомых языков программирования, таких как TypeScript, Python и Ява. Он упрощает процесс создания и управления ресурсами AWS, преобразуя код в шаблоны AWS CloudFormation, что позволяет использовать практики инфраструктуры как кода (IaC).
Чтобы развернуть приложение, пользователям сначала необходимо настроить среду, что включает создание необходимых компонентов, таких как веревки управления идентификацией и доступом (IAM), разрешения, политики и промежуточный контейнер S3. Промежуточные контейнеры S3 следуют одному и тому же шаблону именования: "cdk-{Qualifier}-{Description}-{Account-ID}-{Region}". Это означает, что мошенники могут легко предсказать имя, если они знают AWS Account-ID и регион, в котором развернут CDK.
Из сообщения исследователей безопасности:
«Поскольку префикс всегда cdk, квалификатор по умолчанию hnb659fds, а assets — постоянная строка в имени контейнера, единственными переменными, которые меняются, являются идентификатор учетной записи и регион. Это означает, что мошенники могут заранее завладеть именем чужого промежуточного контейнера CDK, предварительно загрузить в него вредоносное ПО, а затем просто ждать, пока жертва его запустит.»
В Aqua утверждают, что существуют «тысячи» случаев, когда в процессе загрузки используется квалификатор по умолчанию, что делает очень простым присвоение имени промежуточного контейнера CDK другого пользователя. Фактически, проблема может «позволить злоумышленнику получить административный доступ к целевой учетной записи AWS, что приведет к полному захвату учетной записи».
Специалисты Aqua сообщили об уязвимости в Amazon, и разработчики исправили ее в начале июля этого года. Первая чистая версия CDK — v2.149.0.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было