错误配置的AWS Organizations策略允许黑客全面控制AWS环境

安全研究人员在Cymulate Research Labs的一项突破性研究中发现了AWS Organizations中的严重漏洞，攻击者可能利用这些漏洞切换账户、提升权限并控制整个组织。

该研究重点关注错误配置的委托机制，这些机制本意是作为分配管理任务的最佳实践，但可能被对手武器化，以在多账户环境中利用合法功能实现持久性和横向移动。

尽管AWS推广委托管理员以减少对高权限管理账户的依赖，但如果未正确保护，这些设置会引入细微的攻击面。

发现隐藏漏洞

例如，攻陷委托管理员账户会授予组织范围内对账户和OU的可见性，使攻击者能够映射高价值目标并计划复杂的权限提升。

研究强调，像AWS IAM Identity Center（前身为SSO）和CloudFormation StackSet这样的服务特别敏感，委托滥用可能更改权限集或在所有成员账户中部署恶意堆栈，从而有效授予类似上帝的控制权。

研究结果的核心是原始AmazonGuardDutyFullAccess托管策略（版本1）中一个先前未识别的过度权限，该策略无意中允许管理账户中的主体为任何支持的服务注册委托管理员，而不仅仅是GuardDuty。

此缺陷源于无限制的“organizations:RegisterDelegatedAdministrator”操作，允许攻击者使用管理账户中泄露的凭据将敏感服务（如IAM Identity Center或CloudFormation StackSet）委托给受控的成员账户。

在模拟利用中，研究人员展示了攻击者如何从有限访问（如从GuardDuty管理角色泄露的密钥）开始，将SSO委托给受攻陷的工作负载账户，然后操纵组织范围的组和权限集，甚至获得对管理账户本身的管理访问权限。

此链可能导致完全攻陷，包括通过StackSet部署后门或重置凭据以实现持久性，同时通过模仿合法管理操作来逃避检测。

AWS已通过发布AmazonGuardDutyFullAccess_v2解决了此问题，该版本将委托权限严格限定为GuardDuty，消除了权限提升路径。

公司通过电子邮件和健康仪表板主动通知受影响的客户，强调需要手动将角色和用户从v1更新到v2，因为避免自动升级以防止中断工作流。

从2025年8月26日开始，将阻止对旧策略的附加，尽管现有附加在更新之前仍保持活动状态。

根据报告，Cymulate的团队赞扬了AWS通过协调披露的协作响应，强调了这种合作伙伴关系在保护云生态系统中的重要性。

为了减轻这些风险，组织被敦促审核所有委托，映射委托账户和服务，按敏感度层级对其进行分类，将IAM Identity Center委托视为具有严格控制的Tier 0资产。

监控CloudTrail中如RegisterDelegatedAdministrator的事件，并在受控环境中模拟攻击场景，可以揭示防御中的差距。

Cymulate发布了一个攻击模拟工具，将委托滥用与策略利用相结合，使团队能够测试和优化检测。

通过重新评估委托配置并强制执行最小权限策略，AWS用户可以将这些潜在弱点转化为强大的安全态势，将警示故事转化为在多账户设置中增强弹性的机会。

这项研究不仅阐明了被忽视的攻击向量，还使防御者能够在不断演变的云威胁环境中保持领先。