Amazon memperbaiki kelemahan keamanan di layanan AWS Glue
Cloud

Amazon memperbaiki kelemahan keamanan di layanan AWS Glue

Amazon Web Services telah memperbaiki dua kelemahan yang memengaruhi AWS Glue dan AWS CloudFormation.

Bug di AWS Glue dapat memungkinkan penyerang menggunakan layanan untuk membuat sumber daya dan mengakses data pelanggan AWS Glue lainnya, menurut Orca Security.

Laporan khusus

Mengelola Multicloud

Mengelola Multicloud

Lebih mudah dari sebelumnya bagi perusahaan untuk mengambil pendekatan multicloud, karena AWS, Azure, dan Google Cloud Platform semuanya berbagi pelanggan. Berikut ini adalah masalah, vendor, dan alat yang terlibat dalam pengelolaan banyak cloud.

Baca selengkapnya

Peneliti Orca mengatakan itu karena kesalahan konfigurasi internal dalam AWS Glue, yang dikonfirmasi oleh AWS hari ini telah diperbaiki.

MELIHAT: Keamanan cloud: Panduan bisnis untuk alat penting dan praktik terbaik

Glue, yang diluncurkan pada tahun 2017, adalah layanan integrasi data tanpa server terkelola untuk menghubungkan database besar, memungkinkan pengembang mengekstrak, mengubah, dan memuat (ETL) untuk pekerjaan pembelajaran mesin.

Peneliti Orca menemukan fitur Glue dapat digunakan untuk mendapatkan kredensial ke peran dalam akun layanan AWS itu sendiri untuk memberikan akses serangan ke antarmuka pemrograman aplikasi (API) layanan internal.

Menggunakan akses ini dengan kesalahan konfigurasi internal, penyerang dapat meningkatkan hak istimewa dalam akun dan mendapatkan hak administratif penuh.

“Kami mengonfirmasi bahwa kami akan dapat mengakses data yang dimiliki oleh pelanggan AWS Glue lainnya,” kata peneliti Orca Yanir Tsarimi dalam sebuah tulisan.

AWS mengatakan dalam sebuah pernyataan bahwa pelanggan Glue tidak perlu memperbarui sistem dan menekankan bahwa bug tersebut tidak dapat memengaruhi pelanggan AWS yang tidak menggunakan Glue.

“Dengan menggunakan fitur AWS Glue, peneliti memperoleh kredensial khusus untuk layanan itu sendiri, dan kesalahan konfigurasi internal AWS memungkinkan peneliti untuk menggunakan kredensial ini sebagai layanan AWS Glue,” kata AWS.

“Tidak mungkin ini dapat digunakan untuk memengaruhi pelanggan yang tidak menggunakan layanan AWS Glue.”

Selain itu, AWS mengatakan telah mengaudit log Glue sejak diluncurkan pada 2017 dan mengonfirmasi bahwa tidak ada data pelanggan yang terpengaruh oleh cacat tersebut sejak saat itu.

“AWS segera bergerak untuk memperbaiki masalah ini ketika dilaporkan. Analisis log kembali ke peluncuran layanan telah dilakukan dan kami secara meyakinkan telah menentukan bahwa satu-satunya aktivitas yang terkait dengan masalah ini adalah antara akun yang dimiliki oleh peneliti,” AWS dikatakan.

“Tidak ada akun pelanggan lain yang terpengaruh. Semua tindakan yang diambil oleh AWS Glue di akun pelanggan dicatat dalam catatan CloudTrail yang dikontrol dan dapat dilihat oleh pelanggan.”

Orca menemukan bug kedua di AWS yang memungkinkan penyerang mengkompromikan server dalam CloudFormation dengan cara yang memungkinkan mereka berjalan sebagai layanan infrastruktur AWS. Pelanggan AWS dapat menggunakan CloudFormation untuk menyediakan dan mengelola sumber daya cloud.

Perusahaan mengidentifikasi kerentanan injeksi entitas eksternal XML (XXE) yang memungkinkannya membaca file dan melakukan permintaan web atas nama server. Cacat tersebut dapat digunakan oleh penyerang untuk mendapatkan “akses istimewa ke sumber daya apa pun di AWS”, menurut Orca.

AWS juga telah memperbaiki kekurangan ini, menurut Orca.

Posted By : hasil hk