L’exposition des compartiments Amazon S3 en mode privé

Protection des données

Même les compartiments Amazon S3 avec le mode “privé” activé sont vulnérables face aux attaques, assurez-vous donc d’avoir sécurisé le maillon faible.

amazon s3

Les milliers de violations de services de stockage de données Cloud relayées par les médias ont permis de sensibiliser davantage aux vulnérabilités causées par un accès “public” mal configuré, mais les tactiques pour porter atteinte à la sécurité du Cloud vont bien au-delà.

Saviez-vous que même les compartiments Amazon S3 avec le mode “privé” activé restent vulnérables face aux cyberattaques ? Ils le sont, et les rôles et autorisations au sein de la gestion des identités et des accès (IAM : identity and access management), que vous attribuez aux instances AWS EC2 constituent le maillon faible.

Des attaques récentes, très médiatisées, visant des compartiments Amazon S3 “privés” auraient révélé 140 000 numéros de sécurité sociale et 80 000 numéros de compte bancaire, exploitant des rôles IAM et des autorisations d’instances sur-privilégiés par le biais d’une faille dans le WAF (Web Application Firewall). Ces attaques récupèrent des identifiants IAM via une vulnérabilité SSRF pour accéder aux données et aux fichiers en mode “privé”.

Le risque des rôles IAM sur-privilégiés

Les rôles IAM attribués à chaque instance AWS EC2 disposeront des autorisations nécessaires pour effectuer certaines tâches et accéder à certains services. Dans des circonstances normales, ce rôle est utilisé uniquement par l’instance EC2 spécifique.

Cependant, au cours de ces violations, un attaquant peut voler des identifiants à l’aide de méthodes telles que l’exploitation d’une faille dans le WAF pour récupérer les identifiants IAM via une vulnérabilité SSRF.

L’attaquant utilise ensuite le rôle IAM compromis d’une autre instance EC2 pour accéder à des ressources, telles que des compartiments Amazon S3. Cette technique permet à l’attaquant de répertorier et de synchroniser le contenu précieux sur un disque local et d’accéder à toutes les données censées être “privées”.

Mieux vaut prévenir que guérir

Sophos Cloud Optix simplifie, pour les entreprises, l’identification des rôles IAM sur-privilégiés et des attaques menées par le biais d’identifiants EC2 compromis.

Les utilisateurs et les services auxquels trop d’autorisations sont attribuées sont facilement repérés, vous permettant ainsi d’évaluer l’état de la sécurité de votre rôle IAM avant qu’un attaquant ne s’en charge.

amazon s3

Lorsque des identifiants volés sont utilisés, vous devez agir rapidement. Dans ce cas, Cloud Optix détecte et vous avertit de l’utilisation d’identifiants temporaires de rôle IAM attribués à une instance EC2 spécifique et utilisés à partir d’une ressource différente.

amazon s3

Assurez-vous que “privé” signifie “privé” en suivant ces étapes simples dans Cloud Optix et déjouez ainsi les techniques utilisées lors des récentes cyberattaques qui ont fait les gros titres.


Billet inspiré de Exposed: Private Amazon S3 bucket exposure, sur le Blog Sophos.

Leave a Reply

Your email address will not be published.