Amazon ECR (Elastik Konteyner Kayıt Defteri) genel galerisindeki ciddi bir güvenlik kusuru, saldırganların herhangi bir konteyner görüntüsünü silmesine veya diğer AWS hesaplarının görüntülerine kötü amaçlı kod enjekte etmesine izin verebilir.
Amazon ECR Public Gallery, kullanıma hazır uygulamaları ve Nginx, EKS Distro, Amazon Linux, CloudWatch Agent ve Datadog Agent gibi popüler Linux dağıtımlarını paylaşmak için kullanılan konteyner görüntülerinin genel bir deposudur.
Bir LightSpin güvenlik analisti, ECR genel galerisinde, belgesiz API eylemlerini kötüye kullanarak diğer kullanıcıların mevcut genel görüntülerini, katmanlarını, etiketlerini, kayıtlarını ve depolarını değiştirmenin mümkün olduğu yeni bir kusur keşfetti.
Araştırmacı, 15 Kasım 2022'de AWS güvenliğine karşı savunmasızlığı bildirdi ve Amazon 24 saatin altında bir düzeltme yaptı.
Bu kusurun vahşi doğada istismar edildiğine dair hiçbir belirtisi olmasa da, tehdit aktörleri bunu birçok kullanıcıya karşı büyük ölçekli tedarik zinciri saldırılarında kullanabilirdi.
Karakteristik olarak, ECR genel galerisinde en çok indirilen altı konteyner görüntüsü 13 milyardan fazla indirme yapmıştır, bu nedenle içlerindeki herhangi bir kötü niyetli enjeksiyon "kontrol dışı" enfeksiyonlarla sonuçlanmış olabilir.
Lightspin, analizinin tüm Kubernetes kümelerinin% 26'sının ECR genel galerisinden bir görüntü çeken en az bir bölme olduğunu gösterdiğini, bu nedenle yankıların önemli olabileceğini gösterdi.
LightSpin'in araştırmacısı, ECR genel galerisinin belirli komutları ve kullanıcı eylemlerini desteklemek için kullanılan ancak kamuya açık olmayan birkaç dahili API eylemine sahip olduğunu keşfetti.
Aşağıda listelenen bu API eylemlerinden dördünün herhangi bir tetikleyicisi yoktu, ancak platformda hala aktiflerdi ve bu nedenle çağrılabilir.
Amazon Cognito'nun geçici kimlik bilgilerini kullanarak ECR dahili API'sına karşı kimlik doğrulaması yapmanın bir yolunu bulduktan sonra, analist kabul edilecek kötü amaçlı API istekleri oluşturdu.
Tabii ki, yukarıdakilerin çalışması için, talebin geçerli bir JSON yapısına sahip olması gerekir ve bu API çağrıları için herhangi bir belge olmadığından, bunun için bazı deneyler yapılması gerekmektedir.
LightSpin'in raporunda sağlanan kavram örneğinde, istek "DeleteImage" API çağrısını ve araştırmacı tarafından yüklenen halka açık bir görüntüyü silmek için halka açık depo ve görüntü kimliklerini kullanır.
Araştırmacı, istismar adımlarını bir Python senaryosuna pişirdi, böylece süreç, kamuya açık görüntülere saldırmak için belgelenmemiş API çağrılarını kötüye kullanmak için otomatikleştirilebilirdi.
İncelenen günlüklere ve kanıtlara dayanarak, İnternet devi hiçbir müşteri hesabı, yükleme veya diğer varlıkların tehlikeye atılmadığından emindir.
Amazon'un tam ifadesi aşağıdadır:
14 Kasım 2022'de bir güvenlik araştırmacısı, genel konteyner görüntülerini bulmak ve paylaşmak için halka açık bir web sitesi olan Amazon Elastik Konteyner Kayıt Defteri (ECR) Halka Galerisi'nde bir sorun bildirdi. Araştırmacı, çağrılırsa ECR genel galerisinde bulunan görüntülerin değiştirilmesini veya kaldırılmasını sağlayabilecek bir ECR API eylemi belirledi.
15 Kasım 2022 itibariyle, belirlenen konu düzeltildi. Tüm kütüklerin kapsamlı analizini yaptık. İncelememizin kesin olduğundan ve bu konuyla ilişkili tek faaliyetin araştırmacının sahip olduğu hesaplar arasında olduğundan eminiz. Başka hiçbir müşterinin hesabı etkilenmedi ve hiçbir müşteri eylemi gerekmez. Bu sorunu bildirdiği için LightSpin'e teşekkür ederiz.
5,4 milyon Twitter kullanıcısı çalınan verileri çevrimiçi sızdırıldı - daha fazla paylaşılan özel olarak
Atlassian, Bitbucket Server'da kritik komut enjeksiyon hatasını düzeltiyor
Android telefon sahibi yanlışlıkla kilit ekranını atlamanın bir yolunu bulur
Apple, iPhone'lara karşı saldırılarda kullanılan yeni webkit sıfır gününü düzeltir
Microsoft Aralık 2022 Patch Salı 2 sıfır gün, 49 kusur düzeltiyor
Kaynak: Bleeping Computer