Amazon-Cloud : vulnérabilités dans AWS CloudFormation et AWS Glue

Deux vulnérabilités dans le cloud AWS d’Amazon inquiètent les utilisateurs : Orca Security les a identifiées dans les services AWS CloudFormation et AWS Glue. Joshua Tiago, expert en sécurité chez cirosec GmbH, explique comment elles fonctionnent et ce qu’elles signifient concrètement pour les utilisateurs.

Monsieur Tiago, comment faut-il évaluer les deux vulnérabilités découvertes par des chercheurs en sécurité ?

La première vulnérabilité concerne le service CloudFormation d’AWS. Les utilisateurs peuvent créer et personnaliser leur propre environnement au moyen de templates. Ces templates définissent au format JSON ou YAML les détails de l’environnement qui est automatiquement créé pour le client. Orca Security a découvert une vulnérabilité XXE dans le service CloudFormation. Dans ce type de vulnérabilité, un attaquant manipule le modèle d’une manière qui permet à l’attaquant d’accéder aux ressources locales telles que les fichiers.

AWS affirme que les fichiers qui peuvent être lus par la faille XXE ne sont pas critiques et qu’il n’y a donc aucun risque pour les clients. Pour l’instant, seul AWS peut l’estimer. Les vulnérabilités Web de ce type sont connues depuis des années et figurent dans le Top 10 de l’OWASP.

Cela semble rassurant. La faille détectée dans AWS Glue est-elle aussi inoffensive ?

La deuxième faille doit être considérée comme plus critique. Tous les clients d’Amazon qui utilisent le service AWS Glue sont potentiellement concernés. Orca Security a trouvé une faille dans le service Glue qui permet à un attaquant d’obtenir l’accès au compte du service Glue et d’étendre les droits pour le service Glue (escalade de privilèges). Dans ce cas, des droits administratifs ont été obtenus pour le service Glue. Un attaquant potentiel aurait ainsi été en mesure d’accéder aux données d’autres clients utilisant le service Glue. AWS a annoncé qu’aucun indice d’une attaque passée n’a été trouvé dans les fichiers journaux. Les clients ne peuvent malheureusement pas le vérifier eux-mêmes.

Un attaquant potentiel aurait utilisé les propres services et systèmes d’AWS dans le backend pour mener les attaques contre des clients AWS individuels. On peut donc se demander dans quelle mesure ces attaques sont consignées dans le service AWS CloudTrail, étant donné que les propres services et systèmes dorsaux d’AWS ont une position de confiance particulière dans AWS.

Monsieur Tiago, merci beaucoup pour votre évaluation.

Amazon a également annoncé entre-temps que les utilisateurs ne devaient en aucun cas intervenir. Ses propres développeurs auraient corrigé le bug dans AWS Glue. Orca Security avait déjà informé Amazon de ces deux failles avant leur publication et indique, en accord avec le fournisseur, qu’elles ont déjà été corrigées globalement.

Amazon-Cloud : vulnérabilités dans AWS CloudFormation et AWS Glue

Plus d'articles

L’intelligence artificielle fait des banques les moteurs du changement

Les jumeaux numériques en tant que catalyseur de transformation des modèles d’affaires

Que signifie ChatGPT pour l’interface client des banques de demain?

Intelligence Artificielle dans le Financement de la Construction

Comment la recherche de fonds peut relier les banques et les petites et moyennes entreprises.

Comment les écosystèmes numériques révolutionnent la banque d’affaires

Les plus lues

Encodage des petits-escroqueries : les criminels essaient maintenant aussi via WhatsApp

iOS: 12 applications gratuites ou réduites pour iPhone et iPad

WhatsApp : arnaque actuelle par le message de code

Sujet du moment