L’équipe de recherche d’Orca Security a découvert un problème de sécurité critique dans le service AWS Glue qui pourrait permettre à un acteur de créer des ressources et d’accéder aux données des clients AWS Glue. L’exploitation était un processus complexe en plusieurs étapes et a finalement été possible grâce à une mauvaise configuration interne d’AWS Glue. Le service Glue a accès à de grandes quantités de données, ce qui en fait une cible très attrayante.
La communication en est faite aujourd’hui après une coordination avec AWS pour remédier au problème et confirmer avec AWS qu’aucun compte client n’a été accédé de manière inappropriée. Quelques heures après avoir signalé le problème, l’équipe du service AWS Glue l’a reproduit et a confirmé les conclusions d’Orca Security. Le lendemain matin, une correction partielle a été déployée à l’échelle mondiale, suivie d’une correction complète quelques jours plus tard.

Anthony Virtuoso, AWS Principal Engineer, a déclaré ce qui suit au sujet des efforts conjoints de collaboration pour découvrir et corriger rapidement cette vulnérabilité : « Chez AWS, la sécurité est le travail de chacun et notre priorité absolue : nous prenons les rapports de vulnérabilité au sérieux. Nous passons beaucoup de temps à réfléchir et à mettre en oeuvre des invariants de sécurité pour assurer la sécurité de nos clients, et nous apprécions lorsque ce travail peut être informé ou amélioré par la recherche en matière de sécurité. Aujourd’hui, notre partenaire AWS, Orca Security, nous a aidés à détecter et à corriger une mauvaise configuration de notre service avant qu’elle ne puisse avoir un impact sur d’autres clients. Nous apprécions grandement leur talent et leur vigilance, et nous tenons à les remercier pour la passion partagée de protéger les clients AWS grâce à leurs découvertes ».

Aperçu technique de la vulnérabilité Zero-Day Superglue

AWS Glue est un service d’intégration de données sans serveur qui facilite la découverte, la préparation et la combinaison de données pour l’analyse, l’apprentissage automatique et le développement d’applications. Au cours de ses recherches, l’équipe Orca Security a pu identifier une fonctionnalité d’AWS Glue qui pouvait être exploitée pour obtenir les informations d’identification d’un rôle au sein du compte propre du service AWS, ce qui a fourni un accès complet à l’API du service interne. En combinaison avec une mauvaise configuration interne de l’API du service interne Glue, il a été possible d’augmenter les privilèges au sein du compte au point d’avoir un accès illimité à toutes les ressources du service dans la région, y compris des privilèges administratifs complets.

En examinant attentivement quelles données pouvaient être accessibles dans le compte de service, l’équipe a confirmé être en mesure d’accéder aux données appartenant à d’autres clients AWS Glue. Elle a utilisé des comptes sous son contrôle pour tester et vérifier que ce problème donnait la possibilité d’accéder aux données de leurs autres comptes sans affecter les données des autres clients AWS.

Voici quelques actions possibles :
1. Assumer des rôles dans les comptes clients AWS qui sont approuvés par le service Glue. Dans chaque compte qui utilise Glue, il y a au moins un rôle de ce type.
2. Interroger et modifier les ressources liées au service AWS Glue dans une région. Cela inclut, sans s’y limiter, les métadonnées pour : les actions Glue, les dev endpoints, les flux de travail, les crawlers, les triggers et les mots de passe de la base de données.

Comme mentionné, toutes les recherches liées à cette conclusion ont été menées dans des comptes AWS appartenant à Orca Security. Aucun autre compte client AWS et aucune donnée d’autres clients n’ont été consultés au cours de nos recherches.

Orca Security tient à remercier l’équipe de sécurité d’AWS, en particulier Dan Urson et Zack Glick, pour avoir collaboré avec elle et travaillé à confirmer et à résoudre rapidement ce problème. Le processus de signalement et de résolution du problème s’est déroulé sans heurts et l’équipe pu rencontrer certaines des personnes formidables d’AWS qui contribuent à assurer la sécurité du cloud.