Vulnerabilidad zero-day en AWS Glue

Hoy os traemos un poco de historia, algo que ocurrió a principios del pasado año pero que es interesante recordar de cara a tener en cuenta algo sobre lo que ya hemos hablado: las vulnerabilidades que son responsabilidad del proveedor cloud también pueden llegar a ocurrir y, por rápida que sea su mitigación, hacen ver la importancia del modelo de seguridad compartida.

El pasado 13 de enero de 2022, los investigadores Orca Security Research Team publicaron una vulnerabilidad zero-day en AWS Glue que permitía a un atacante crear recursos y acceder a la información de otros usuarios del servicio.

Antes de entrar a detallar en qué consiste la vulnerabilidad, es necesario entender cuál es la funcionalidad del servicio.

AWS Glue se trata de un servicio serverless utilizado para integrar datos, de manera que sea más sencillo descubrir, preparar y combinar la información para procesos de análisis, machine learning, y desarrollo de aplicaciones. Algunos de sus componentes principales que ayudan en el objetivo final del servicio son:

AWS Glue Data Catalog: permite almacenar, comentar y compartir metadatos disponibles en AWS. Todas las cuentas de AWS tienen este servicio habilitado en cada región. Permite catalogar la información y extraerla.
AWS Glue DataBrew: se trata de una herramienta visual que posibilita la limpieza y normalización de la información sin necesidad de escribir código.
AWS Glue Studio: interfaz gráfica que facilita la creación, ejecución y monitorización de tareas ETL (extract, monitor, transform) en AWS Glue,
AWS Glue Elastic Views: facilita la creación de «vistas» que combinan y replican información entre múltiples sistemas de almacenamiento sin necesidad de escribir código.

Toda la lógica de negocio se realiza mediante tareas denominadas «Glue jobs», cuya función es extraer la información, procesarla y almacenarla en una ubicación concreta.

¿En qué consiste la vulnerabilidad?

El fallo detectado por los investigadores consistía en que una de las características de AWS Glue permitía obtener credenciales de un rol propio de la cuenta del servicio, lo que les otorgó acceso completo a la API interna del servicio. Esto, sumado a un error de configuración interno en la API del servicio, permitió a los investigadores escalar privilegios hasta lograr acceso sin restricciones a todos los recursos del servicio en la región, incluyendo privilegios de administrador:

Rol con privilegios de administrador
Fuente: Orca Superglue Blog

Este rol contrasta con el rol por defecto del servicio:

Rol por defecto de AWS Glue
Fuente: Orca Superglue Blog

Tras esto, los investigadores se dieron cuenta de que al identificarse como una identidad de servicio, podrían asumir cualquier rol que tuviese a AWS Glue entre sus identidades de confianza. Al verificar a qué información tenían acceso y qué podían hacer, determinaron lo siguiente:

Posibilidad de acceder a información de otros clientes de AWS Glue.
Asumir roles en otras cuentas de AWS establecidas en una relación de confianza con el servicio AWS Glue.
Hacer peticiones y modificar recursos relacionados con AWS Glue en cada región.

El flujo de trabajo de esta vulnerabilidad zero-day en AWS Glue es, así pues, el siguiente:

Un potencial atacante hace uso del servicio AWS Glue en su cuenta de AWS.
El atacante hace uso del fallo en AWS Glue para obtener las credenciales de un rol dentro de la cuenta del propio servicio con privilegios de administración.
El atacante pasa a ser capaz de asumir cualquier rol que tenga una relación de confianza con AWS Glue.
El atacante gana acceso a recursos de otras cuentas de AWS.

Mitigación de la vulnerabilidad

Horas después de que la vulnerabilidad fuese reportada, el equipo del servicio AWS Glue confirmó lo reportado y a la mañana siguiente ya se había aplicado un parche a nivel global, seguido de una solución que mitigaba la vulnerabilidad por completo días más tarde.

Además, AWS confirmó que la vulnerabilidad no había sido explotada por atacantes potenciales para acceder a información de los clientes del proveedor cloud. Los investigadores utilizaron cuentas propias para reproducir todos los pasos detallados anteriormente.

Más información

Acerca de Raquel

Raquel Gálvez Ha escrito 68 publicaciones.

Pentester. Cloud security specialist on the making.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

UAD

Aviso Legal

Acerca de Raquel

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

UAD

Aviso Legal