Amazon-Cloud: Schwachstellen in AWS CloudFormation und AWS Glue

Sicherheitsforscher haben in der AWS-Cloud zwei Schwachstellen ausgemacht. Security-Experte Joshua Tiago erklärt, was sie für Nutzer bedeuten.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: JLStock/Shutterstock.com)

Von
  • Moritz Förster
  • Joshua Tiago

Zwei Schwachstellen in Amazons AWS-Cloud schrecken Anwender auf: Orca Security machte sie in den Diensten AWS CloudFormation und AWS Glue aus. Joshua Tiago, Security-Experte bei der cirosec GmbH, erklärt, wie sie funktionieren und was sie konkret für Nutzer bedeuten.

Herr Tiago, wie sind die beiden von Security-Forschern entdeckten Schwachstellen zu bewerten?

Die erste Schwachstelle betrifft den AWS-CloudFormation-Dienst. Benutzer können mittels Templates ihre eigene Umgebung erstellen und anpassen. Diese Templates definieren im JSON- oder YAML-Format die Details zu der Umgebung, die automatisch für den Kunden erstellt wird. Orca Security hat eine XXE-Schwachstelle im CloudFormation-Dienst gefunden. Ein Angreifer manipuliert bei dieser Art von Schwachstelle das Template in einer Weise, die dem Angreifer erlaubt, auf lokale Ressourcen wie Dateien zuzugreifen.

AWS behauptet, dass die Dateien, die per XXE-Schwachstelle ausgelesen werden können, nicht kritisch sind und somit kein Risiko für Kunden besteht. Dies kann zurzeit nur AWS selbst einschätzen. Web-Schwachstellen dieser Art sind seit Jahren bekannt und werden entsprechend von OWASP Top 10 aufgeführt.

Das klingt beruhigend. Ist denn der in AWS Glue aufgespürte Fehler ebenso ungefährlich?

Die zweite Schwachstelle ist durchaus als kritischer zu bewerten. Potenziell sind alle Amazon-Kunden betroffen, die den AWS-Glue-Dienst verwenden. Orca Security hat eine Schwachstelle im Glue-Dienst gefunden, die es einem Angreifer ermöglicht, Zugriff auf den Glue Service Account zu erlangen und die Rechte für den Glue-Dienst zu erweitern (Privilege Escalation). Hierbei wurden administrative Rechte für den Glue-Dienst erlangt. Dadurch wäre ein potenzieller Angreifer in der Lage gewesen, auf Daten anderer Kunden, die den Glue-Dienst verwenden, zuzugreifen. AWS hat bekannt gegeben, dass in den Logfiles keine Anhaltspunkte für einen Angriff in der Vergangenheit zu finden sind. Kunden können dies leider nicht selbst überprüfen.

Ein potenzieller Angreifer hätte die AWS-eigenen Dienste und Systeme im Backend verwendet, um die Angriffe auf einzelne AWS-Kunden durchzuführen. Daher ist fraglich, inwieweit diese Angriffe im AWS-CloudTrail-Dienst protokolliert werden, da die eigenen AWS-Dienste und -Backend-Systeme eine besondere Vertrauensstellung in AWS haben.

Herr Tiago, vielen Dank für die Einschätzung.

Amazon gab mittlerweile außerdem bekannt, dass Nutzer in keinem Fall aktiv werden müssen. Die eigenen Entwickler hätten den Fehler in AWS Glue behoben. Orca Security hatte bereits vor der Veröffentlichung der beiden Schwachstellen Amazon über diese informiert und gibt übereinstimmend mit dem Provider an, dass diese bereits global behoben seien.

Mehr von iX Magazin Mehr von iX Magazin

(fo)