Die AWS Elastic IP Transfer-Routine gibt Cyberangreifern freie Hand

Forscher nach sich ziehen herausgefunden, dass Angreifer eine neue Routine in Amazon Web Services (AWS) kompromittieren können, um die statischen öffentlichen IP-Adressen von Cloud-Konten zu kapern und sie z. Hd. verschiedene böswillige Zwecke zu schänden.

Bedrohungsakteure können die Amazon Virtual Private Cloud (VPC) Elastic IP (EIP)-Übertragungsfunktion verwenden, um die EIP einer anderen Person zu stehlen und sie wie ihre eigene Command-and-Control (C2) zu verwenden oder um Phishing-Kampagnen zu starten, die sich wie dasjenige Todesopfer zuteilen, Forscher von dieser Cloud Incident Response-Firma Mitiga in einem Blogbeitrag vom 20. Monat des Winterbeginns.

Angreifer können dasjenige gestohlene EIP nicht zuletzt verwenden, um die eigenen Firewall-geschützten Endpunkte eines Opfers anzugreifen oder wie ursprünglicher Netzwerk-Endpunkt des Opfers zu fungieren, um die Möglichkeiten z. Hd. Datendiebstahl zu erweitern, sagten die Forscher.

„Welcher potenzielle Schaden z. Hd. dasjenige Todesopfer durch dasjenige Hijacking einer EIP und deren Verwendung z. Hd. böswillige Zwecke kann bedeuten, dass dieser Name des Opfers verwendet wird, die anderen Ressourcen des Opfers zwischen anderen Cloud-Anbietern/lokal und gefährdet werden [stealing the] Kundeninformationen des Opfers”, schrieb Or Aspir, Softwareentwickler zwischen Mitiga, in dieser Postamt.

Bedrohungsakteure zu tun sein schon darüber hinaus Berechtigungen z. Hd. dasjenige AWS-Konto einer Organisation verfügen, um den neuen Angriffsvektor nutzen zu können, den die Forscher wie „Postamt-Initial-Compromise-Sturm“ bezeichnen.

Da dieser Sturm jedoch nicht möglich war, vorher die Routine hinzugefügt wurde und noch nicht im MITRE ATT&CK Framework aufgeführt ist, sind sich Unternehmen unter Umständen nicht kognitiv, dass sie dazu kränklich sind, da sie wahrscheinlich nicht von bestehenden Sicherheitsmaßnahmen erfasst werden, so die Forscher sagte.

„Mit den richtigen Berechtigungen z. Hd. dasjenige AWS-Konto des Opfers kann ein böswilliger Schauspieler mit einem einzigen API-Kontrollabgabe die verwendete EIP des Opfers gen sein eigenes AWS-Konto transferieren und so praktisch die Leistungsnachweis darüber erlangen“, schrieb Aspir. „In vielen Fällen ermöglicht es, die Wirkung des Angriffs erheblich zu steigern und Zugriff gen noch mehr Assets zu erhalten.“

Funktionsweise dieser Elastic IP-Übertragung

AWS führte EIP im zehnter Monat des Jahres wie legitime Routine ein, um die Übertragung von Elastic IP-Adressen von einem AWS-Konto gen ein anderes zu geben. Eine Elastic IP (EIP)-Postadresse ist eine öffentliche und statische IPv4-Postadresse, die darüber hinaus dasjenige Web erreichbar ist und einer Elastic Compute Cloud (EC2)-Instanz z. Hd. Web-bezogene Aktivitäten wie dasjenige Hosten von Websites oder die Kommunikation mit Netzwerkendpunkten unter zugewiesen werden kann eine Firewall.

AWS hat die Routine eingeführt, um dasjenige Verschieben von Elastic IP-Adressen während dieser Umstrukturierung von AWS-Konten zu vereinfachen, während die EIP gen ein beliebiges AWS-Konto transferieren wird – sogar gen AWS-Konten, die nicht jemandem oder seiner Organisation in Besitz sein von, sagten die Forscher.

Mit dieser Routine ist die Übertragung ein bloßer „zweistufiger Handshake zwischen AWS-Konten – dem Quellkonto (entweder ein Standard-AWS-Konto oder ein AWS Organizations-Konto) und dem Übertragungskonto“, erklärte Aspir.

Notzucht von Elastic IP Transfer

Die Leichtigkeit, mit dieser EIPs jetzt transferieren werden können, führt jedoch zu einem unbeabsichtigten Problem – während es den Prozess dieser Übertragung von IPs z. Hd. legitime Kontoinhaber sicherlich erleichtert, macht es es nicht zuletzt z. Hd. böswillige Akteure einfacher, sagten die Forscher.

Die Forscher beschrieben ein grundlegendes Szenario, um zu veranschaulichen, wie Angreifer die EIP-Übertragung nutzen können, vorausgesetzt, dass Angreifer schon darüber hinaus Berechtigungen verfügen, die es ihnen geben, vorhandene EIPs und ihren Status zu „sehen“ oder ob sie mit anderen Computerressourcen verknüpft sind oder nicht.

Typischerweise sind EIPs zugeordnet, immerhin manchmal behält eine Organisation getrennte EIPs z. Hd. die spätere Verwendung oder wie Ergebnis einer nicht verwalteten Umgebung, die ungenutzte Ressourcen enthält, sagten die Forscher. „In jedem Kern muss dieser Angreifer nur die EIP-Übertragung einschalten, und die IP-Postadresse gehört ihm“, schrieb Aspir.

Angreifer können dies mit den richtigen Berechtigungen gen zwei Arten tun: entweder ein dissoziiertes EIP transferieren oder die Zuordnung eines zugehörigen EIP explantieren und es dann transferieren, so die Forscher.

Für jedes Ersteres muss ein Angreifer die folgende Schritte in seiner angehängten Identity and Access Management (IAM)-Richtlinie gen AWS nach sich ziehen: „ec2:DisassociateAddress“-Schritte z. Hd. die elastischen IP-Adressen und die Netzwerkschnittstellen, an die die IP-Adressen angehängt sind.

Um eine EIP zu transferieren, muss ein Bedrohungsakteur die folgenden Aktionen in seiner angehängten IAM-Richtlinie nach sich ziehen: „ec2:DescribeAddresses“ z. Hd. jeder IP-Adressen und „ec2:EnableAddressTransfer“ z. Hd. die EIP-Postadresse, die dieser Angreifer transferieren möchte, sagten die Forscher.

Nutzung eines gestohlenen EIP

Es gibt eine Vielzahl von Angriffsszenarien, an denen sich ein Bedrohungsakteur beteiligen kann, nachdem er die EIP einer anderen Person triumphierend gen seine eigene Leistungsnachweis transferieren hat.

In externen Firewalls, die vom Todesopfer verwendet werden, kann ein Angreifer zum Beispiel mit den Netzwerkendpunkten hinter den Firewalls kommunizieren, wenn es eine Zulassungsregel z. Hd. die spezifische IP-Postadresse gibt, sagten die Forscher.

Darüber hinaus könnten in Fällen, in denen ein Todesopfer DNS-Provider wie zusammenführen Route53-Tätigkeit verwendet, DNS-Einträge vom Typ „A“ vorhanden sein, zwischen denen dasjenige Ziel die übertragene IP-Postadresse ist. In diesem Kern kann ein Angreifer die Postadresse schänden, um zusammenführen bösartigen Webserver unter dieser Domain eines legitimen Opfers zu hosten, und dann andere böswillige Aktionen wie Phishing-Angriffe starten, sagten die Forscher.

Angreifer können die gestohlene IP-Postadresse nicht zuletzt wie C2 verwenden und sie z. Hd. Schadsoftware-Kampagnen verwenden, die legitim erscheinen und von dort unter dem Radar dieser Sicherheitsabwehr bleiben. Ein Bedrohungsakteur kann sogar Denial of Tafelgeschirr (DoS) z. Hd. die öffentlichen Dienste eines Opfers verursachen, wenn er ein EIP von einem laufenden Endpunkt trennt und es überträgt, sagten die Forscher.

Wer ist gefährdet und wie kann man es mindern?

Jeder, dieser EIP-Ressourcen in einem AWS-Konto verwendet, ist gefährdet und muss die EIP-Ressourcen von dort wie andere Ressourcen in AWS erläutern, die von Exfiltration bedroht sind, rieten die Forscher.

Um sich vor einem EIP-Übertragungsangriff zu schützen, empfiehlt Mitiga Unternehmen, dasjenige Prinzip dieser geringsten Rechte z. Hd. AWS-Konten zu verwenden und die Möglichkeit zur Übertragung von EIP sogar vollwertig zu deaktivieren, wenn dies keine notwendige Routine in ihrer Umgebung ist.

Dazu kann eine Organisation native AWS-IAM-Funktionen wie Tafelgeschirr Control Policies (SCPs) verwenden, die eine zentrale Leistungsnachweis darüber hinaus die maximal verfügbaren Berechtigungen z. Hd. jeder Konten in einer Organisation eröffnen, sagten die Forscher und lieferten in ihrem Gebühr ein Leitvorstellung dazu funktioniert.