AWS修复CloudTrail API监控工具中的绕过漏洞

Charlie Osborne
2023年1月23日 13:01 UTC

威胁行为者在AWS环境和API调用中进行探测时可能保持不被察觉。亚马逊网络服务（AWS）已修补了一个绕过漏洞，攻击者可利用该漏洞规避CloudTrail API监控。

在1月17日的一篇博客文章中，Datadog安全实验室高级研究员Nick Frichette表示，该漏洞影响了CloudTrail事件日志服务，这是防御者检查API活动的重要数据源。事件日志解决方案对于防御者检测可疑活动和在安全事件发生后进行取证工作至关重要。

CloudTrail监控并记录AWS环境事件以及API使用情况。然而，根据Datadog安全研究团队的说法，存在一种绕过日志记录系统的技术，允许威胁行为者在IAM服务中未被检测地执行侦察活动。

该团队测试了两个服务：iam和iamadmi，它们在AWS控制台中接收请求。Datadog发现iamadmin是一个未记录的API，当调用诸如ListMFADevicesForMultipleUsers（iam:ListMFADevices的封装）等端点时，CloudTrail中不会生成事件日志。

该团队发现了13个可以调用的AIM方法，尽管其中一些产生了意外行为。

“在使用这种技术一段时间后，很明显这不是预期的功能，“Frichette评论道。“能够绕过CloudTrail日志记录并获取这些调用的结果对防御者具有严重影响，因为它限制了跟踪对手在环境中做了什么以及他们采取了什么行动的能力。”

此外，研究人员表示，同样的技术可能使绕过Amazon的GuardDuty成为可能，因为CloudTrail被用作其数据源。

影响后果

通过利用该漏洞，攻击者可以执行侦察活动。Frichette向The Daily Swig解释说，当iamadmin服务调用IAM API时，攻击者可以触发iam:ListGroupsForUser来"返回IAM用户所属的组”。

此外，“iam:ListAttachedGroupPolicies将返回与IAM组关联的IAM策略，这可能揭示特别特权的组；iam:ListMFADevices将返回IAM用户是否在其账户上附加了MFA[多因素认证]设备（对选择未来目标有用）"。

AWS发言人确认了该漏洞的存在。但需要注意的是，只读API仍然适用基于客户的身份验证和授权规则。

“受感染的实体必须具有足够的权限来调用这些操作，但利用此漏洞，他们可以完全不被检测地执行这些操作，“Datadog指出。

披露过程

研究人员于2022年3月10日向AWS报告了此问题。亚马逊安全团队在同一天确认了报告。然而，由于修复该漏洞所需的内部更改的复杂性，直到10月才推出修复程序。

10月24日，AWS发布了一个修复程序，更新了iamadmin API调用，使其以与iam服务相同的方式在CloudTrail中生成事件。

AWS发言人确认受影响的API方法已更新，无需客户采取任何行动。

“这类漏洞并不常见，“Frichette说。“据我所知，没有其他公开已知的漏洞允许攻击者绕过通常会被记录的AWS API操作的日志记录。”