Das Cloud-Incident-Response-Unternehmen Mitiga behauptet, einen brandneuen Angriffsvektor entdeckt zu haben, der Benutzer von Amazon Web Services (AWS) dem Risiko von Cyberangriffen aussetzen könnte.
In einem Bericht (öffnet in neuem Tab)sagte das Unternehmen, dass eine neue Amazon Virtual Private Cloud (öffnet in neuem Tab) (VPC)-Funktion namens „Elastic IP Transfer“ (EIP) könnte von Angreifern missbraucht werden, um IP-Adressen zu kompromittieren und folglich die Endpunkte des Ziels zu erreichen.
Die Elastic IP-Übertragung ist eine Funktion, die es Benutzern ermöglicht, Elastic IP-Adressen von einem AWS-Konto auf ein anderes zu übertragen, eine Funktion, die das Verschieben von Elastic IP-Adressen während der Umstrukturierung von AWS-Konten einfacher und einfacher macht. Aber wie es bei neuen Angeboten oft der Fall ist, hatte auch dieses einen missbrauchbaren Fehler.
Bedrohungen unter dem Radar
„Dies ist ein neuer Vektor für Post-Initial-Compromise-Angriffe, die zuvor nicht möglich waren (und noch nicht im MITRE ATT&CK-Framework enthalten sind), und Organisationen sind sich ihrer Möglichkeit möglicherweise nicht bewusst“, sagte Mitiga in seiner Ankündigung.
Darüber hinaus sagte das Unternehmen, dass der Fehler „den Explosionsradius eines Angriffs erweitern und weiteren Zugriff auf Systeme ermöglichen kann, die sich auf IP-Zulassungslisten als primäre Form der Authentifizierung oder Validierung verlassen“.
Das Unternehmen argumentiert, dass der Angriffsvektor brandneu und einzigartig ist, da Elastic IP „nie als eine Ressource angesehen wurde, die Sie vor Exfiltration schützen sollten“, und behauptet, dass das Hijacking eines EIP in der MITRE ATT&CK-Wissensdatenbank überhaupt nicht als Technik angezeigt wird.“ Dies bedeutet, dass die Opfer möglicherweise überhaupt nicht wissen, dass der Angriff stattfindet.
In einem Beispiel dafür, wofür der Fehler verwendet werden könnte, erklärte Mitiga, wie ein Bedrohungsakteur die gestohlene IP-Adresse an eine EC2-Instance in einem AWS-Konto in seinem Besitz anhängen und sie verwenden könnte, um seine Endpunkte zu erreichen. Auch eine Firewall würde nicht viel helfen, da sie eine Regel hätte, die Verbindungen von der gestohlenen IP-Adresse erlaubt. Folglich könnten sie es verwenden, um Phishing-Angriffe zu starten, sagte das Unternehmen.
Um auf der sicheren Seite zu bleiben, wird AWS-Benutzern empfohlen, ihre EIP-Ressourcen genauso zu betrachten wie alle AWS-Ressourcen, bei denen das Risiko einer Exfiltration besteht: „Verwenden Sie das Prinzip der geringsten Rechte für Ihre AWS-Konten und deaktivieren Sie sogar die Möglichkeit, EIP vollständig zu übertragen, wenn Sie dies nicht benötigen es“, schließt der Blog.