Команда AWS устранила уязвимость безопасности облачного комплекта разработки, которая могла привести к полному захвату учетной записи

В Amazon Web Services (AWS) устранили уязвимость безопасности в Cloud Development Kit (CDK), которая могла позволить злоумышленникам полностью захватить учетные записи пользователей. ЕЕ обнаружили исследователи по кибербезопасности из компании Aqua.
Команда AWS устранила уязвимость безопасности облачного комплекта разработки, которая могла привести к полному захвату учетной записи

Команда AWS устранила уязвимость безопасности облачного комплекта разработки, которая могла привести к полному захвату учетной записи. Фото: СС0

AWS Cloud Development Kit (CDK) — это фреймворк разработки программного обеспечения с открытым исходным кодом, который позволяет разработчикам определять облачную инфраструктуру с помощью знакомых языков программирования, таких как TypeScript, Python и Ява. Он упрощает процесс создания и управления ресурсами AWS, преобразуя код в шаблоны AWS CloudFormation, что позволяет использовать практики инфраструктуры как кода (IaC).

Чтобы развернуть приложение, пользователям сначала необходимо настроить среду, что включает создание необходимых компонентов, таких как веревки управления идентификацией и доступом (IAM), разрешения, политики и промежуточный контейнер S3. Промежуточные контейнеры S3 следуют одному и тому же шаблону именования: "cdk-{Qualifier}-{Description}-{Account-ID}-{Region}". Это означает, что мошенники могут легко предсказать имя, если они знают AWS Account-ID и регион, в котором развернут CDK.

Из сообщения исследователей безопасности:

«Поскольку префикс всегда cdk, квалификатор по умолчанию hnb659fds, а assets — постоянная строка в имени контейнера, единственными переменными, которые меняются, являются идентификатор учетной записи и регион. Это означает, что мошенники могут заранее завладеть именем чужого промежуточного контейнера CDK, предварительно загрузить в него вредоносное ПО, а затем просто ждать, пока жертва его запустит.»

В Aqua утверждают, что существуют «тысячи» случаев, когда в процессе загрузки используется квалификатор по умолчанию, что делает очень простым присвоение имени промежуточного контейнера CDK другого пользователя. Фактически, проблема может «позволить злоумышленнику получить административный доступ к целевой учетной записи AWS, что приведет к полному захвату учетной записи».

Специалисты Aqua сообщили об уязвимости в Amazon, и разработчики исправили ее в начале июля этого года. Первая чистая версия CDK — v2.149.0.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

Amazon Web Services Инфраструктура облачных сервисов для предоставления таких услуг как: хранение данных, аренда серверов и предоставление мощностей.
Инфраструктура облачных сервисов для предоставления таких услуг как: хранение данных, аренда серверов и предоставление мощностей.

Больше интересного

Актуальное

Личный кабинет информационной системы. Каким он должен быть?
В сервис WEEEK добавили блок поддержки видео из Kinescope и российских видеохостингов
В Webflow внедрили новые инструменты на базе искусственного интеллекта
Ещё…