
Getty Images/iStockphoto
WatchTowr : les buckets S3 abandonnés présentent un risque pour la chaîne logistique
Les chercheurs de WatchTowr ont découvert qu’ils pouvaient réenregistrer des buckets Amazon S3 abandonnés et détaillent la manière dont des acteurs malveillants pourraient exploiter cette surface d’attaque.
Une nouvelle étude de WatchTowr a mis en évidence des risques de sécurité de la chaîne logistique, que les composants d’infrastructure cloud abandonnés (comme les buckets S3 d’Amazon) continuent de poser pour les entreprises.
Dans un billet de blog tout juste publié, les chercheurs de WatchTowr avertissent que des attaquants peuvent prendre le contrôle de buckets Amazon S3 abandonnés et les exploiter pour déployer des mises à jour de logiciels, malveillantes, et des outils d’accès à distance, ou même accéder à un environnement AWS. WatchTowr a analysé des actifs appartenant auparavant à des organisations gouvernementales, à des entreprises du classement Fortune 500, à des entreprises IT, à des sociétés de cybersécurité et à de grands projets open source.
Les chercheurs ont plus particulièrement examiné le cas des buckets S3, mais ils craignent que d’autres actifs abandonnés ne présentent des risques similaires pour la chaîne logistique IT d’autres services de stockage cloud.
« La réalité est qu’il existe une cause fondamentale “simple” à tous ces conflits. Il ne s’agit pas d’Amazon, de S3 ou même du “cloud”. La cause première provient d’un état d’esprit, qui s’est développé au fur et à mesure que les frictions liées à l’acquisition de l’infrastructure Internet (qu’il s’agisse de buckets S3, de noms de domaine, d’adresses IP ou autres) diminuaient », écrit WatchTowr dans son étude. « Dans un monde où l’enregistrement d’un nom de domaine ne coûte que quelques dollars, et où l’enregistrement d’une ressource Internet telle qu’un bucket S3 coûte encore moins cher, il suffit de très peu pour s’engager par inadvertance à maintenir une ressource finie ».
WatchTowr explique que le projet a commencé après que les chercheurs ont trouvé un lien S3 mort vers un rapport sur les menaces avancées persistantes publié par une société anonyme qu’ils ont appelée « Antivirus and MDR Vendor #1 ». Le fichier PDF n’était plus disponible, mais les chercheurs ont découvert qu’ils pouvaient enregistrer le bucket S3 et diffuser du contenu malveillant à partir du domaine à la place.
En menant leurs recherches, ils ont découvert « [environ] 150 buckets Amazon S3 qui avaient déjà été utilisés pour des produits logiciels commerciaux et open source, des gouvernements et des pipelines CI/CD, puis abandonnés ». Certains l’avaient été depuis des mois, voire des années.
Cependant, les chercheurs de WatchTowr ont constaté qu’ils pouvaient encore les enregistrer. Les buckets réenregistrés « ont reçu plus de 8 millions de requêtes HTTP sur une période de 2 mois » pour diverses actions, notamment des mises à jour logicielles, des binaires Windows, Linux et macOS précompilés, des images de machines virtuelles, des modèles CloudFormation et des configurations de serveurs VPN SSL. Pour les chercheurs, c’est bien simple : des attaquants peuvent exploiter ces requêtes pour une myriade d’actions malveillantes, y compris le déploiement de rançongiciels.
« Le problème, du point de vue de la sécurité, se manifeste lorsque ces buckets S3 sont laissés à l’abandon, ce qui permet à des acteurs malveillants de les réenregistrer pour eux-mêmes. Il s’agit d’une classe de bogues connue, connue sous de nombreux noms, y compris “S3 bucket takeover” (nous savons que ce n’est pas nouveau – soyez indulgents avec nous). Les prises de contrôle de deuxième ordre de buckets Amazon S3 par le biais de liens brisés ne sont pas non plus nouvelles, avant que vous ne nous disiez cela aussi », ont déclaré les chercheurs.
D’autres fournisseurs de solutions de sécurité et chercheurs ont mis en garde contre les risques posés par les buckets S3 abandonnés. En 2023, Checkmarx a découvert qu’un acteur malveillant avait pris le contrôle d’un bucket S3 récemment abandonné et l’avait utilisé pour empoisonner le paquet NPM « bignum ».
Les chercheurs de WatchTowr ont trouvé un seau S3 abandonné impliquant un avis de l’agence américaine de la cybersécurité et de la sécurité des infrastructures, la CISA, datant de 2012. Cela ne manquerait vraisemblablement pas de représenter un risque important si un attaquant en prenait le contrôle. En outre, ils ont découvert un exemple de jeux Mozilla où le bucket S3 a été supprimé de la documentation du projet Emscripten en 2015.
« Le fait qu’un pirate puisse théoriquement enregistrer une ressource abandonnée il y a si longtemps et diffuser instantanément des logiciels malveillants à des hôtes de confiance devrait tous nous alarmer – et en particulier ceux qui utilisent Internet de manière non paranoïaque, sans vérifier l’intégrité de chaque binaire qu’ils téléchargent (c’est-à-dire 99,9999 % d’entre nous) », estiment les chercheurs.
Appel à l’action
WatchTowr a contacté les organisations concernées, y compris la CISA et un fournisseur d’appliances SSL VPN anonyme. L’accueil a été largement positif et les problèmes ont été résolus. En outre, les chercheurs ont indiqué qu’AWS avait accepté de vider les 150 buckets S3 identifiés.
Le problème n’est assurément pas spécifique à AWS, mais WatchTowr exhorte le géant du cloud à jouer un rôle dans la réduction des risques. AWS S3 prend certaines mesures d’atténuation – telles que l’application d’une vérification du compte propriétaire d’un bucket lors de l’interaction avec celui-ci – qui peuvent être appliquées pour prévenir les attaques.
Le PDG de WatchTowr, Benjamin Harris, estime toutefois qu’il serait préférable d’empêcher l’enregistrement de buckets S3 sous des noms ayant déjà été utilisés par le passé. À défaut, il concède également que les clients peuvent jouer un rôle et doivent prendre conscience que, lorsqu’une ressource cloud est créée, exploitée et référencée quelque part, cette référence existera pour toujours.