ADVIERTEN NUEVO VECTOR DE ATAQUE EN AMAZON WEB SERVICES

Investigadores de Mitiga han descubierto una nueva amenaza de seguridad para una funcionalidad introducida recientemente en Amazon Web Services (AWS).

El vector de ataque se relaciona con la función ‘Transferencia de IP elástica’ de Amazon Virtual Private Cloud de AWS, que se anunció en octubre de 2022. Esta función permite una transferencia mucho más fácil de direcciones IP elásticas de una cuenta de AWS a otra.

Sin embargo, los investigadores revelaron que es posible que un actor de amenazas explote la transferencia de IP elástica y comprometa una dirección IP. En este punto, pueden lanzar una amplia gama de ataques, “dependiendo del tipo de confianza y dependencia que otros tengan en relación con la IP secuestrada”.

Estos incluyen la comunicación con los puntos finales de la red que se encuentran detrás de otros firewalls externos utilizados por las víctimas si existe una regla de permiso en la dirección IP elástica específica que se ha transferido. Otra táctica posible es realizar actividades maliciosas utilizando la dirección IP elástica, como un servidor de comando y control para campañas de malware, que pueden pasar desapercibidas para las herramientas defensivas.

El equipo advirtió: “Como sucede a menudo con una nueva función útil, un actor malicioso con las credenciales y los permisos correctos podría potencialmente hacer un mal uso de la función para causar daño”.

El blog también señaló que “este es un nuevo vector para el ataque posterior al compromiso inicial, que antes no era posible (y aún no aparece en MITRE ATT&CK Framework)”. Por lo tanto, las organizaciones pueden no ser conscientes de ello.

Al detallar cómo se puede explotar la transferencia de IP elástica, los investigadores enfatizaron que los actores de amenazas requerirían permisos de administración de identidad y acceso (IAM) que les permitan “ver” las direcciones IP elásticas existentes y sus estados. También requerirán permiso para habilitar la transferencia de direcciones IP elásticas.

“En resumen, es probable que el adversario necesite al menos dos y posiblemente tres permisos de API para usar esta función con malos propósitos”, se lee en la publicación.

Mitiga dijo que ya había notificado al equipo de seguridad de AWS sobre sus hallazgos “e incorporó los comentarios que recibimos como parte de esta publicación de blog”.

Luego, los investigadores establecieron una variedad de acciones que las organizaciones que usan la transferencia de IP elástica pueden usar para mitigar esta amenaza. Estos incluyeron:

• Aplicación del principio de privilegio mínimo mediante la utilización de las “políticas de control de servicios” de AWS
• Detección y respuesta automatizadas mediante el uso de la API EnableAddressTransfer
• Uso de la función trae tu propia IP (BYOIP) de AWS
• Protecciones de DNS inverso

Los investigadores concluyeron: “La función de transferencia EIP es muy útil, pero crea una nueva dimensión de ataque que no se había visto anteriormente en AWS. El robo de direcciones IP públicas estáticas puede afectar en gran medida a las organizaciones, poniendo en riesgo no solo los activos de la empresa sino también a los clientes de la empresa”.

En noviembre de 2022, se descubrió que cientos de instancias del servicio de base de datos relacional (RDS) de Amazon se expusieron mensualmente, con una gran fuga de información de identificación personal.