0
0
Vulnerabilidade atinge o site Elastic Container Register Public, galeria popular na qual empresas como NGINX, Ubuntu, Amazon Linux e HashiCorp Consul publicam imagens de contêineres para consumo e uso público
A Amazon Web Services (AWS) corrigiu uma nova vulnerabilidade que afeta o site Elastic Container Register Public para localizar e compartilhar imagens públicas de contêineres — arquivos básicos contendo código executado na infraestrutura de TI. O Elastic Container Register Public é uma galeria popular na qual empresas como NGINX, Ubuntu, Amazon Linux e HashiCorp Consul publicam imagens de contêineres para consumo e uso público.
A diretora de pesquisa de segurança da Lightspin, Gafnit Amiga, descobriu a vulnerabilidade no site que permite a invasores excluir, atualizar e criar imagens, camadas e tags ECR Public em registros e repositórios que pertencem a outras contas da AWS. “O invasor pode ‘envenenar’ imagens populares, ao mesmo tempo em que explora do modelo de confiança do ECR Public, pois essas imagens seriam disfarçadas como verificadas e, assim, prejudicariam a cadeia de suprimentos do ECR Public”, disse ela ao The Record.
Segundo ela, essa vulnerabilidade pode potencialmente levar a negações de serviço, exfiltração de dados, movimentação lateral, escalonamento de privilégios, destruição de dados e outros caminhos de ataque multivariados que são limitados apenas pela astúcia e pelos objetivos do adversário.
Amiga publicou uma postagem no blog explicando como ela conseguiu acessar o serviço ECR Public e ativar ações internas não documentadas que permitiram que ela excluísse, atualizasse e criasse imagens ECR Public. Ela relatou a vulnerabilidade à AWS Security Outreach Team, que respondeu imediatamente e trabalhou com a equipe ECR para corrigir a vulnerabilidade em menos de 24 horas.
Em uma declaração ao The Record, a AWS disse que foi notificada sobre o problema em 14 de novembro, explicando que Amiga “identificou uma ação da API ECR que, se chamada, poderia permitir a modificação ou remoção de imagens disponíveis na ECR Public Gallery”. “Realizamos uma análise exaustiva de todos os logs. Estamos confiantes de que nossa análise foi conclusiva e que a única atividade associada a esse problema foi entre contas pertencentes ao pesquisador”, disse a empresa, afirmando que nenhuma conta do ECR Public foi afetada e nenhuma ação é necessária.
FONTE: CISO ADVISOR