Movimento lateral em ambientes AWS
Nas mãos de hackers experientes, os segredos vazados podem ser muito poderosos e perigosos. Por exemplo, os invasores por trás deste projeto demonstraram conhecimento avançado de APIs da AWS. Depois de obter a chave de acesso da AWS, os invasores a usam para executar uma chamada de API GetCallerIdentity para verificar a identidade ou função atribuída para autenticação pública. Eles também realizaram algumas ações de teste chamando ListUsers para coletar uma lista de usuários IAM em uma conta AWS e ListBuckets para identificar todos os buckets S3 existentes.
Na vulnerabilidade investigada da AWS, os invasores viram uma função AWS IAM exposta que descobriram não ter direitos administrativos para todos os serviços. No entanto, ele tinha permissão para criar novas funções do IAM e anexar políticas do IAM às existentes. Eles então criam uma nova função chamada lambda-ex e anexam a política AdministratorAccess a ela, obtendo escalonamento de privilégios.
“Depois de criar com sucesso uma função IAM privilegiada, o ator da ameaça tentou criar duas pilhas de infraestrutura diferentes, uma usando serviços Amazon Elastic Cloud Compute (EC2) e outra usando AWS Lambda”, disseram os pesquisadores. “Ao executar essas táticas de execução, os atores não conseguiram criar o grupo de segurança, os pares de chaves e a instância EC2, mas criaram com sucesso várias funções lambda com a função IAM recém-criada anexada.”
