Los actores de amenazas pueden utilizar Amazon Web Services Security Token Service (AWS STS) para infiltrarse en cuentas de la nube y realizar ataques de seguimiento.
En el ámbito del cloud de Amazon Web Services (AWS), los adversarios han encontrado una vía astuta para infiltrarse en las cuentas de las organizaciones: el Servicio de Tokens Seguros (STS). Este servicio, diseñado para proporcionar credenciales temporales, ha sido explotado por actores de amenazas para acceder a los activos en la nube de las empresas.
Los investigadores de Red Canary, Thomas Gardner y Cody Betsworth, revelaron que los adversarios pueden hacerse pasar por identidades y roles de usuarios en entornos de nube utilizando AWS STS. Este servicio web permite a los usuarios solicitar credenciales temporales con privilegios limitados, evitando la necesidad de crear una identidad de AWS. Estos tokens temporales pueden tener una validez desde 15 minutos a 36 horas, proporcionando a los atacantes un margen para realizar sus acciones maliciosas.
«AWS STS es un control de seguridad crítico para limitar el uso de credenciales estáticas y la duración del acceso de los usuarios a través de su infraestructura de nube»,
dijeron los investigadores de Red Canary, Thomas Gardner y Cody Betsworth
Para comprometer cuentas, los adversarios roban tokens de Identidad y Acceso a la Gestión (IAM) a largo plazo mediante diversas tácticas, como infecciones de malware, credenciales expuestas y ataques de phishing. Una vez obtenidos, estos tokens les permiten determinar roles y privilegios asociados mediante llamadas a la Interfaz de Programación de Aplicaciones (API).
La infiltración continúa con la utilización de tokens STS autenticados por Autenticación Multifactor (MFA) para crear nuevos tokens temporales. Estos tokens son empleados en acciones maliciosas, como la exfiltración de datos, formando parte de un proceso que proporciona persistencia al adversario.
¿Qué es AWS STS?
AWS STS es un servicio web que proporciona tokens de acceso a corto plazo a usuarios de AWS y usuarios federados. Los tokens STS se asignan a un usuario y tienen una duración fija de no más de 36 horas, lo que ayuda a prevenir el robo de credenciales.
Para contrarrestar este tipo de abuso, se recomienda registrar datos de eventos de CloudTrail, detectar eventos de encadenamiento de roles y abuso de Autenticación Multifactor (MFA), y rotar las claves de acceso de usuarios de IAM a largo plazo. Los investigadores subrayan la importancia del AWS STS como un control de seguridad crítico y advierten sobre posibles abusos bajo configuraciones de IAM comunes.
En un escenario donde los adversarios han perfeccionado sus tácticas en la nube, la comprensión detallada de servicios como el STS se vuelve crucial para los equipos de defensa. La detección temprana y las respuestas efectivas son esenciales para mitigar los riesgos asociados con estas infiltraciones en evolución constante.
Más información
- https://redcanary.com/blog/aws-sts/
- https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html
Deja una respuesta