0
0
Os invasores podem comprometer um novo recurso no Amazon Web Services (AWS) para sequestrar os endereços IP públicos estáticos das contas na nuvem e abusar deles para vários fins maliciosos, descobriram os pesquisadores.
Atores de ameaças podem usar o recurso de transferência de Amazon Virtual Private Cloud (VPC) Elastic IP (EIP) para roubar o EIP de outra pessoa e usá-lo como seu próprio comando e controle (C2) ou para lançar campanhas de phishing que representam a vítima, pesquisadores da empresa de resposta a incidentes na nuvem Mitiga revelou em uma postagem de blog em 20 de dezembro.
Os invasores também podem usar o EIP roubado para atacar os endpoints protegidos por firewall da própria vítima ou servir como endpoint de rede da vítima original para ampliar as oportunidades de roubo de dados, disseram os pesquisadores.
“O dano potencial à vítima ao seqüestrar um EIP e usá-lo para fins maliciosos pode significar usar o nome da vítima, comprometer os outros recursos da vítima em outros provedores de nuvem/no local e [roubar] as informações dos clientes da vítima”, ou Aspir, engenheiro de software da Mitiga, escreveu no post.
Os agentes de ameaças já devem ter permissões na conta da AWS de uma organização para aproveitar o novo vetor de ataque, que os pesquisadores chamam de “ataque de comprometimento pós-inicial”.
No entanto, como o ataque não era possível antes de o recurso ser adicionado e ainda não está listado no MITRE ATT&CK Framework, as organizações podem não saber que são vulneráveis a ele, pois não é provável que seja detectado pelas proteções de segurança existentes, os pesquisadores disse.
“Com as permissões corretas na conta da AWS da vítima, um ator mal-intencionado usando uma única chamada de API pode transferir o EIP usado pela vítima para sua própria conta da AWS, praticamente ganhando controle sobre ela”, escreveu Aspir. “Em muitos casos, permite aumentar muito o impacto do ataque e obter acesso a ainda mais ativos”.
Como funciona a transferência elástica de IP
A AWS introduziu o EIP em outubro como um recurso legítimo para permitir a transferência de endereços IP elásticos de uma conta da AWS para outra. Um endereço Elastic IP (EIP) é um endereço IPv4 público e estático que pode ser acessado pela Internet e pode ser alocado para uma instância do Elastic Compute Cloud (EC2) para atividades voltadas para a Web, como hospedagem de site ou comunicação com terminais de rede em um firewall.
A AWS introduziu o recurso para facilitar a movimentação de endereços IP elásticos durante a reestruturação da conta da AWS, transferindo o EIP para qualquer conta da AWS – até mesmo contas da AWS que não pertencem a alguém ou sua organização, disseram os pesquisadores.
Com o recurso, a transferência é um mero “aperto de mão em duas etapas entre as contas da AWS – a conta de origem (uma conta padrão da AWS ou uma conta do AWS Organizations) e a conta de transferência”, explicou Aspir.
Abuso de transferência de IP elástico
A facilidade com que os EIPs agora podem ser transferidos cria um problema não intencional, no entanto – embora certamente facilite o processo de transferência de IP para proprietários de contas legítimos, também facilita para agentes mal-intencionados, disseram os pesquisadores.
Os pesquisadores descreveram um cenário básico para ilustrar como os invasores podem tirar proveito da transferência EIP, assumindo que os invasores já têm permissões que lhes permitem “ver” os EIPs existentes e seu status, ou se estão ou não associados a outros recursos do computador.
Normalmente, os EIPs são associados, mas às vezes uma organização mantém EIP dissociados para uso posterior ou como resultado de um ambiente não gerenciado que mantém recursos não utilizados, disseram os pesquisadores. “De qualquer forma, o invasor só precisa ativar a transferência EIP e o endereço IP é dele”, escreveu Aspir.
Os invasores podem fazer isso de duas maneiras com as permissões corretas: transferir um EIP dissociado ou remover a associação de um EIP associado e depois transferi-lo, disseram os pesquisadores.
Para o primeiro, um adversário deve ter a seguinte ação em sua política de gerenciamento de identidade e acesso (IAM) anexada na AWS: ação “ec2:DisassociateAddress” nos endereços IP elásticos e nas interfaces de rede às quais os endereços IP estão anexados.
Para transferir um EIP, um ator de ameaça deve ter as seguintes ações em sua política IAM anexada: “ec2:DescribeAddresses” em todos os endereços IP e “ec2:EnableAddressTransfer” no endereço EIP que o invasor deseja transferir, disseram os pesquisadores.
Aproveitando um EIP roubado
Há uma ampla variedade de cenários de ataque nos quais um agente de ameaça pode se envolver após transferir com sucesso o EIP de outra pessoa para seu próprio controle.
Em firewalls externos usados pela vítima, por exemplo, um invasor pode se comunicar com os endpoints da rede por trás dos firewalls se houver uma regra de permissão no endereço IP específico, disseram os pesquisadores.
Além disso, nos casos em que uma vítima usa provedores de DNS, como um serviço Route53, pode haver registros DNS do tipo “A” em que o alvo é o endereço IP transferido. Nesse caso, um invasor pode abusar do endereço para hospedar um servidor da Web malicioso no domínio de uma vítima legítima e, em seguida, iniciar outras ações maliciosas, como ataques de phishing , disseram os pesquisadores.
Os invasores também podem usar o endereço IP roubado como C2, usando-o para campanhas de malware que parecem legítimas e, portanto, passam despercebidas pelas defesas de segurança. Um ator de ameaça pode até causar negação de serviço (DoS) aos serviços públicos de uma vítima se dissociar um EIP de um endpoint em execução e transferi-lo, disseram os pesquisadores.
Quem está em risco e como mitigá-lo
Qualquer pessoa que use recursos EIP em uma conta da AWS está em risco e, portanto, deve tratar os recursos EIP como outros recursos na AWS que correm o risco de exfiltração, aconselharam os pesquisadores.
Para se proteger de um ataque de transferência EIP, a Mitiga recomenda que as empresas usem o princípio do menor privilégio nas contas da AWS e até mesmo desativem totalmente a capacidade de transferir EIP se não for um recurso necessário em seu ambiente.
Para fazer isso, uma organização pode usar recursos IAM nativos da AWS, como políticas de controle de serviço (SCPs), que oferecem controle central sobre o máximo de permissões disponíveis para todas as contas em uma organização, disseram os pesquisadores, fornecendo um exemplo em sua postagem de como isso funciona.
FONTE: DARK READING