idNSA.id - Amazon Web Services (AWS) telah mengatasi masalah
cross-tenant yang membingungkan di platformnya yang dapat memungkinkan pelaku
ancaman mendapatkan akses tidak sah ke source. Masalahnya dilaporkan ke
perusahaan oleh peneliti dari Datadog pada 1 September 2022, dan bug tersebut
diselesaikan pada 6 September.
Masalah yang membingungkan terjadi ketika entitas yang tidak
memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih
berhak untuk melakukan tindakan tersebut. AWS menyediakan tool untuk melindungi
akun jika pemilik memberikan pihak ketiga (dikenal sebagai cross-account) atau layanan AWS lainnya
(dikenal sebagai cross-service) akses ke
sumber daya di akun.
Masalah ini terkait dengan layanan AppSync di AWS yang
memungkinkan pengembang Developer API GraphQL dan Pub/Sub dengan cepat.
“Kami telah mengidentifikasi kerentanan cross-tenant di
Amazon Web Services (AWS) yang mengeksploitasi AWS AppSync.” membaca laporan
yang diterbitkan oleh Datadog. “Serangan ini menyalahgunakan layanan AppSync
untuk mengambil peran IAM di akun AWS lain, yang memungkinkan penyerang untuk
beralih ke organisasi korban dan mengakses sumber daya di akun tersebut .”
Amazon menyelidiki potensi eksploitasi masalah dalam serangan
dan menetapkan bahwa tidak ada pelanggan yang terpengaruh.
“Seorang peneliti keamanan baru-baru ini mengungkapkan
masalah penguraian sensitivitas huruf dalam AWS AppSync, yang berpotensi
digunakan untuk melewati validasi penggunaan peran cross-account layanan dan
mengambil tindakan sebagai layanan di seluruh akun pelanggan.” membaca
penasehat yang diterbitkan oleh Amazon.
“Tidak ada pelanggan yang terpengaruh oleh masalah ini, dan
tidak ada tindakan pelanggan yang diperlukan. AWS segera bergerak untuk
memperbaiki masalah ini saat dilaporkan. Analisis log sejak peluncuran layanan
telah dilakukan dan kami telah menentukan secara meyakinkan bahwa satu-satunya
aktivitas yang terkait dengan masalah ini adalah antara akun yang dimiliki oleh
peneliti. Tidak ada akun pelanggan lain yang terpengaruh.”
Dalam skenario serangan, entitas yang kurang diistimewakan (penyerang) dapat memaksa entitas atau layanan yang diistimewakan (AppSync) untuk melakukan beberapa tindakan atas namanya.
Para ahli menunjukkan bahwa untuk mengotorisasi tindakan yang
akan dilakukan AppSync, pengembang membuat peran (atau AppSync dapat membuatnya
secara otomatis atas nama mereka) dengan izin IAM yang diperlukan. Peran yang
dibuat akan memiliki kebijakan kepercayaan yang memungkinkan layanan AppSync
mengambil peran tersebut.
Dengan menggunakan contoh S3, jika developer membuat API
tersebut, mereka akan membuat peran dengan izin S3 yang diperlukan dan
mengizinkan AppSync untuk menjalankan peran tersebut. Saat GraphQL API
dipanggil, AppSync akan mengambil peran, melakukan panggilan AWS API, dan
menginterpretasikan hasilnya.
Para ahli menunjukkan bahwa AWS memang memiliki perlindungan
untuk mencegah AppSync mengambil peran sewenang-wenang dengan memvalidasiAmazon
Resource Name (ARN) peran tersebut. Pemeriksaan dapat dengan mudah dihindari
dengan meneruskan parameter "serviceRoleArn" dalam huruf kecil.
Penyerang dapat mengeksploitasi masalah untuk memberikan
pengidentifikasi peran untuk akun AWS yang berbeda.
“Kerentanan di AWS AppSync ini memungkinkan penyerang
melewati batas akun dan mengeksekusi panggilan API AWS di akun korban melalui
peran IAM yang memercayai layanan AppSync. Dengan menggunakan metode ini,
penyerang dapat menembus organisasi yang menggunakan AppSync dan mendapatkan
akses ke sumber daya yang terkait dengan peran tersebut.” Keismpulan Laporan.
“Setelah menemukan kerentanan ini, kami menghubungi Tim Keamanan AWS yang
dengan cepat mengatasi masalah tersebut.”
