En rad olika programmeringsgränssnitt för webbtjänster i Amazon Web Services (AWS) kan användas för att komma över information om företag och verksamheter. Informationen kan därefter användas av cyberbrottslingar för riktade attacker. Det varnar analytiker på Palo Alto Networks för.
Hittills har analytikerna upptäckt 22 API:er kopplade till 16 olika tjänster som alla är sårbara för samma metod. En angripare kan använda den information som returneras i felkoden när ett API anropas från en icke-existerande användare till att kartlägga vilka roller och användare som finns i en organisation.
Teckna din prenumeration på Aktuell Säkerhet här
Grunden till sårbarheten är att AWS proaktivt validerar alla resursbaserade policys kopplade till tjänster som till exempel Amazon Simple Storage Service (S3). Identiteten på de som kan använda tjänsten specificeras vanligen i ett specifikt fält. Om en begäran kommer från en resurs där användaren är okänd och nekas access kommer ett svar med felmeddelandet att lämnas tillbaka. Det svaret kan innehålla användbar information för en angripare.
#2. Annonser
Eftersom denna typ av felmeddelande inte loggas på något annat ställe än hos den som gör anropet är attackerna svåra att upptäcka och skydda sig emot. En angripare får därigenom gott om tid på sig att leta runt oupptäckt och kartlägga en verksamhet. Angriparen kan över tid skaffa sig kunskap om vilka användare som existerar, deras behörighetsnivåer och hur organisationen är uppbyggd. Denna information kan sedan användas, till exempel för riktade angrepp mot enskilda individer
