Kritiek lek gevonden in AWS-softwareketen: tweederde cloudgebruikers liep ernstig risico
Onderzoekers van cloudbeveiliger Wiz hebben vorig jaar een ernstig beveiligingslek ontdekt in de keten waarmee AWS software ontwikkelt. Bij misbruik zouden er grote gevolgen zijn geweest voor alle AWS-klanten. AWS erkende de fout onmiddellijk na de melding en heeft deze snel hersteld.
Shutterstock
De les uit dit incident is dat organisaties de systemen voor de ontwikkeling en implementatie van software (CI/CD) zouden moeten behandelen als een aanvalsdoel van topniveau. Beveilig je CI/CD-processen alsof ze directe toegang geven tot je klantendata, want vaak doen ze dat ook, waarschuwt Wiz. Met deze ontdekking is waarschijnlijk de grootste aanval op toeleveringsketens ooit voorkomen. Was dit probleem misbruikt door cybercriminelen dan had een aanval miljoenen organisaties gelijktijdig kunnen treffen.
Adminrechten op cruciale software gestolen
De Wiz-onderzoekers meldden in augustus vorig jaar aan AWS dat er een kritieke fout zat in de AWS CodeBuild CI-pijplijnen bij meerdere officiële AWS GitHub-repositories. Aanvallers konden via een fout in een regex-filter (ACTOR_ID) builds laten uitvoeren en inloggegevens buitmaken, waarmee ze volledige controle over de repositories kregen. Een regex-filter is een hulpmiddel om alleen de code door te laten die aan een specifiek patroon voldoet, bijvoorbeeld bij validatie, bij zoek‑ en vervangacties of om irrelevante data weg te halen. De fout maakte het mogelijk dat onbevoegden de inloggegevens van een admin-gebruiker bij GitHub konden stelen. Die gaven toegang tot repositories (verzamelingen van broncode en documentatie) van software die aanwezig is in twee derde van alle cloudomgevingen.
CI/CD-processen aantrekkelijk doelwit
Dit incident toont aan hoe een kleine configuratiefout in CI/CD-pijplijnen tot grootschalige aanvallen op de toeleveringsketen van bedrijven kan leiden. Deze softwareontwikkelings- en beheerstraten zijn aantrekkelijk voor aanvallers vanwege:
- een hoge complexiteit,
- een veelvoorkomende interactie met onbetrouwbare input waardoor malafide acties minder snel opvallen, en
- hoge privileges van de betrokken ontwikkelaars, zoals toegang tot bedrijfsgeheime informatie en de manier waarop software bij bedrijven is geïmplementeerd.
Wiz waarschuwt in een blog dat veel organisaties achterlopen met het beveiligen van hun CI/CD-processen. AWS had de fout binnen 48 uur na de melding hersteld. Ook is verdere bescherming toegevoegd aan deze processen. Het bedrijf heeft bevestigd dat geen anderen dan de Wiz-onderzoekers misbruik hebben gemaakt van deze kwetsbaarheid. Er zijn daarom ook geen gevolgen voor klantgegevens of diensten van de cloudaanbieder.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee