Pesquisadores de segurança cibernética divulgaram detalhes sobre uma falha de segurança, agora corrigida, no SSM Agent do Amazon EC2 Simple Systems Manager (SSM) que, se explorada com sucesso, poderia permitir que um hacker escalasse privilégios e executasse código malicioso.

Segundo um relatório da Cymulate a vulnerabilidade permitia que um invasor criasse diretórios em locais indevidos do sistema de arquivos, executasse scripts arbitrários com privilégios de root e, assim, ganhasse acesso elevado ao sistema ou executasse atividades maliciosas ao escrever arquivos em áreas sensíveis.

O SSM Agent da Amazon é um componente da AWS que permite a administradores gerenciar, configurar e executar comandos remotamente em instâncias EC2 e servidores locais. O agente processa comandos definidos em documentos SSM, que podem conter diversos plugins responsáveis por tarefas como execução de scripts ou automação de processos de configuração e implantação.

O risco surgiu porque o SSM Agent cria dinamicamente diretórios e arquivos com base nas especificações dos plugins, normalmente utilizando os IDs dos plugins para compor os caminhos de diretório. A falha descoberta pela Cymulate envolve justamente uma vulnerabilidade de path traversal, causada pela validação inadequada desses IDs de plugin na função ValidatePluginId, localizada no arquivo pluginutil.go.

De acordo com o pesquisador de segurança Elad Beber, essa função não sanitiza corretamente os dados de entrada, permitindo que hackers forneçam IDs de plugins com sequências de path traversal (como ../) para manipular o sistema de arquivos.

Isso possibilita a criação de documentos SSM com caminhos especialmente forjados, como ../../../../malicious_directory, permitindo a execução de comandos ou scripts maliciosos e abrindo caminho para ações pós-exploração.

Após a divulgação responsável em 12 de fevereiro de 2025, a vulnerabilidade foi corrigida no dia 5 de março de 2025 com o lançamento da versão 3.3.1957.0 do Amazon SSM Agent. Segundo as notas de versão no GitHub, foi adicionada e aplicada a função BuildSafePath para evitar o uso de path traversal nos diretórios de orquestração.

Via - THN