Das Cloud-Incident-Response-Unternehmen Mitiga behauptet, einen neuen Angriffsvektor entdeckt zu haben, der Benutzer von Amazon Web Services (AWS) Cyberangriffen aussetzen könnte.
In einem Bericht (öffnet sich in einem neuen Tab) sagte das Unternehmen, dass eine neue Funktion der Amazon Virtual Private Cloud (öffnet sich in einem neuen Tab) (VPC) namens „Elastic IP Transfer“ (EIP) von böswilligen Akteuren ausgenutzt werden könnte, um IP zu kompromittieren Adressen und erreichen so die Zielendpunkte.
Elastic IP Forwarding ist eine Funktion, die es Benutzern ermöglicht, Elastic IP-Adressen von einem AWS-Konto auf ein anderes zu übertragen, eine Funktion, die das Verschieben von Elastic IP-Adressen beim Umstrukturieren des AWS-Kontos einfach und unkompliziert macht. Aber wie es bei neuen Angeboten oft der Fall ist, hatte dieses einen unverschämten Fehler.
Bedrohungen unter dem Radar
„Dies ist ein neuer anfänglicher Post-Compromise-Angriffsvektor, der zuvor nicht möglich war (und noch nicht im MITRE ATT&CK-Framework aufgeführt ist), von dem Organisationen möglicherweise nicht wissen, dass er möglich ist“, sagte Mitiga in seiner Ankündigung.
Darüber hinaus sagte das Unternehmen, dass der Fehler „den Umfang eines Angriffs erweitern und zusätzlichen Zugriff auf Systeme ermöglichen könnte, die auf der IP-Zulassungsliste als primäre Form der Authentifizierung oder Validierung basieren.“
Das Unternehmen behauptet, dass der Angriffsvektor völlig neu und einzigartig sei, da Elastic IP „nie als eine Ressource angesehen wurde, die vor Exfiltration geschützt werden sollte“, und erklärt, dass die Entführung einer EIP in der MITRE ATT&CK KB überhaupt nicht als Technik aufgeführt sei. . Dies bedeutet, dass die Opfer möglicherweise nichts vom laufenden Angriff wissen.
In einem Beispiel dafür, wofür der Fehler verwendet werden könnte, erklärte Mitiga, wie ein böswilliger Akteur die gestohlene IP-Adresse an eine EC2-Instanz in einem AWS-Konto anhängen kann, das ihm gehört, und sie verwendet, um seine Endpunkte zu erreichen. Auch eine Firewall würde nicht viel helfen, da sie eine Regel hätte, die Verbindungen von der gestohlenen IP-Adresse erlauben würde. Daher könnten sie es verwenden, um Phishing-Angriffe zu starten, sagte das Unternehmen.
Um auf Nummer sicher zu gehen, wird AWS-Benutzern empfohlen, ihre EIP-Ressourcen wie jede andere AWS-Ressource zu behandeln, bei der das Risiko besteht, dass sie exfiltriert wird: „Verwenden Sie das Prinzip der geringsten Berechtigung für Ihre AWS-Konten und deaktivieren Sie sogar die Möglichkeit, EIP vollständig zu übertragen, wenn Sie dies nicht tun.“ „Sie brauchen es“, schlussfolgert der Blog.