Verwijderde of niet langer gebruikte Amazon S3-buckets blijken een aanzienlijke aanvalsvector te zijn voor cybercriminelen. Securityspecialist watchTwr Labs toonde in een recent onderzoek aan hoe aanvallers deze ‘vergeten’ opslag eenvoudig kunnen herregistreren en gebruiken om bijvoorbeeld malware te verspreiden, of zelfs grootschalige supply chain-aanvallen op te zetten.
Uiteindelijke aanvallen zouden vergelijkbaar kunnen zijn met de beruchte SolarWinds-aanval. De onderzoekers van watchTwr Labs scanden het internet op zoek naar verlaten of niet meer actieve Amazon S3-buckets die in het verleden werden gebruikt in code of software-updates. Ze controleerden of deze buckets nog steeds onbeveiligde en niet-geverifieerde verzoeken ontvingen.
Uiteindelijk ontdekten ze 150 vergeten S3-buckets die voorheen eigendom waren van overheidsinstellingen, grote ondernemingen, IT- en securitybedrijven. Deze buckets waren ooit in gebruik voor onder andere open-sourceprojecten, software-uitrol, updates en configuraties, maar later achtergelaten.
8 miljoen verzoeken
Voor slechts 400 dollar registreerden de onderzoekers opnieuw deze 150 S3-buckets en analyseerden welke bestanden er werden opgevraagd. In twee maanden tijd ontvingen de heringevoerde buckets liefst 8 miljoen verzoeken van onder meer overheden (VS, Verenigd Koninkrijk en Australië), een grote creditcardaanbieder, internationale banken en cybersecuritybedrijven. Vaak aangevraagde bestanden betroffen onder andere niet-ondertekende Windows-, Linux- en macOS-binaries, VM-images, JavaScript-bestanden, SSL VPN-configuraties en CloudFormation-templates.
Volgens de onderzoekers hadden kwaadwillenden deze verzoeken eenvoudig kunnen beantwoorden met schadelijke bestanden, wat potentieel kon uitmonden in grootschalige cyberaanvallen.
Makkelijk te misbruiken
De experts van watchTwr Labs benadrukken hoe simpel het is om via deze vergeten infrastructuur een supply chain-aanval te realiseren. Deze kwetsbaarheid is bovendien niet alleen van toepassing op Amazon S3-buckets, maar op iedere verlaten cloudomgeving. Het enige wat criminelen hoeven te doen, is de oorspronkelijke naam van de bucket te herregistreren en vervolgens te misbruiken voor het verspreiden van malware.
Reactie van AWS
AWS heeft de door watchTwr Labs opgespoorde en opnieuw geregistreerde S3-buckets inmiddels verwijderd. De hyperscaler adviseert klanten om zich te houden aan best practices, waaronder het gebruik van unieke namen voor buckets om herregistratie te voorkomen. Daarnaast is er uitgebreide documentatie beschikbaar om te zorgen dat applicaties goed zijn geconfigureerd en alleen eigen, geldige buckets gebruiken.
Lees ook: Welke beveiligingsrisico’s zijn er in het tijdperk van cloudadoptie?