Vulnerabilidades em funções padrão da AWS permitem ataques Hacker e comprometimento total de contas

Pesquisadores de cibersegurança da Aqua descobriram vulnerabilidades críticas nas funções padrão de gerenciamento de identidade e acesso (IAM) da Amazon Web Services (AWS), que podem ser exploradas por hackers para escalar privilégios, manipular outros serviços da AWS e, em casos extremos, comprometer completamente contas na plataforma. Essas funções, frequentemente criadas automaticamente ou recomendadas durante a configuração de serviços, concedem permissões amplas e desnecessárias, como acesso total ao S3, criando brechas perigosas para ataques.

De acordo com Yakir Kadkoda e Ofek Itach, da Aqua, as falhas foram identificadas em funções IAM padrão de serviços como SageMaker, Glue, EMR e Lightsail, além de uma vulnerabilidade semelhante no framework de código aberto Ray, que cria uma função padrão (ray-autoscaler-v1) com a política AmazonS3FullAccess. Essa política permite que um hacker, ao obter acesso a uma dessas funções, tenha leitura e escrita em todos os buckets S3 da conta, possibilitando a manipulação de recursos como templates do CloudFormation, scripts do EMR e modelos do SageMaker, além de movimentação lateral entre serviços dentro da mesma conta AWS.

O problema vai além dos conhecidos ataques de "monopólio de bucket", nos quais hackers exploram padrões previsíveis de nomes de buckets S3 para controlá-los em regiões não utilizadas. Nesse caso, um invasor com acesso a uma função padrão com AmazonS3FullAccess pode buscar diretamente os buckets usados por outros serviços, modificar ativos e até injetar códigos maliciosos. Um exemplo hipotético seria um hacker subir um modelo de machine learning malicioso para o Hugging Face, que, ao ser importado no SageMaker, executaria códigos arbitrários, permitindo o controle de serviços como o Glue e o roubo de credenciais IAM.

Os serviços afetados incluem o Amazon SageMaker AI, que cria uma função padrão chamada AmazonSageMaker-ExecutionRole-<DataHora> com permissões equivalentes ao AmazonS3FullAccess; o AWS Glue, com a função AWSGlueServiceRole; e o Amazon EMR, com a função AmazonEMRStudio_RuntimeRole_<TempoEpoch>. Esses papéis, embora criados para finalidades específicas, quebram as barreiras de isolamento entre serviços, transformando-os em ferramentas poderosas para hackers que buscam escalar privilégios e se mover lateralmente dentro do ambiente AWS.

Após a divulgação das vulnerabilidades, a AWS tomou medidas para mitigar os riscos, ajustando a política AmazonS3FullAccess para funções padrão de serviços como CDK, Glue, EMR e SageMaker. A Amazon também atualizou a documentação do Lightsail, orientando os usuários a criar buckets com políticas mais restritivas, e garantiu que os ativos do CDK sejam enviados apenas para buckets dentro da conta do usuário. "Confirmamos que os serviços estão funcionando como esperado, e o problema foi resolvido com a modificação das políticas", declarou a Amazon.

Os pesquisadores da Aqua alertam que as funções padrão devem ser rigorosamente limitadas aos recursos e ações específicas que exigem, e as empresas devem auditar e atualizar proativamente suas configurações para evitar riscos. A descoberta coincide com outra vulnerabilidade relatada pela Varonis, que afeta uma ferramenta de montagem de armazenamento no Azure (AZNFS-mount), permitindo que usuários sem privilégios em máquinas Linux escalem permissões para root. Essa falha, corrigida na versão 2.0.11 do utilitário em 30 de janeiro de 2025, poderia ser usada para instalar malware, ransomware ou mover-se lateralmente em ambientes de nuvem.

Via - THN