Identificando vulnerabilidades en S3
Última actualización
Última actualización
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el CPNA - Curso Profesional de Pentesting Contra AWS. No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
Las configuraciones incorrectas en los depósitos de Amazon Web Services (AWS) S3 representan uno de los vectores de riesgo más significativos en la nube, especialmente debido a los permisos de acceso de lectura y escritura mal configurados. Estos riesgos no solo comprometen la seguridad de los datos almacenados, sino que también pueden tener implicaciones legales y financieras graves para las organizaciones.
Un bucket de S3 configurado incorrectamente para permitir acceso público de lectura puede exponer información sensible del cliente, secretos comerciales, o datos confidenciales a internet. Esta exposición no autorizada puede resultar en:
Violaciones de Privacidad: Datos personales, registros financieros o información de salud expuestos pueden llevar a violaciones de normativas de protección de datos como GDPR, HIPAA, entre otras.
Daño a la Reputación: La filtración de datos sensibles puede erosionar la confianza del cliente y dañar la reputación de una organización.
Pérdidas Financieras: La exposición de datos críticos puede resultar en pérdidas financieras directas, ya sea por la explotación de la información expuesta o por sanciones impuestas por reguladores.
Por otro lado, un bucket de S3 que permite acceso de escritura pública puede ser abusado de varias maneras:
Distribución de Malware: Los atacantes pueden cargar malware o contenido malicioso, utilizando el bucket como plataforma para lanzar ataques o distribuir software dañino.
Defacement de Sitios Web: Si el bucket se utiliza para alojar un sitio web, los atacantes pueden modificar o reemplazar los archivos existentes, alterando el contenido del sitio web (defacement).
Cargas no Autorizadas: Los atacantes pueden utilizar el bucket para almacenar grandes cantidades de datos ilegales o no deseados, incurriendo en costos significativos para la víctima.
Ransomware: Existe el riesgo de que los atacantes cifren archivos almacenados en el bucket y exijan un rescate para su descifrado, similar a un ataque de ransomware tradicional.
Para los Buckets siempre es recomendable revisar la política del Bucket ya que en esta podemos encontrar fallas de seguridad:
El enlace para la política utilizada en este Bucket es:
La politica contiene lo siguiente:
Dependiendo de los requerimientos, podríamos decir que en este Bucket hay una vulnerabilidad que podría ser categorizada como baja.
Por buenas prácticas, Se recomienda restringir siempre los tipos de archivos subidos por medio de una política sobre los Buckets utilizando listas blancas.
Por ejemplo:
La politica completa quedaria asi:
En resumen, esta política de bucket permite al titular de la política realizar cualquier acción (s3:*
) sobre los archivos con extensiones .jpg
, .png
, y .gif
que estén dentro del bucket llamado spartan-cpna
.
En resumen, la política actual del Bucket podría permitir a un atacante subir archivos con extensiones categorizadas como maliciosas como por ejemplo EXE.
Por otro lado, si durante la auditoria encontramos un Bucket con acceso público y este contiene información sensible; podríamos afirmar que existe una vulnerabilidad alta.
Ya que un bucket s3 mal configurado que permite el acceso público de lectura puede provocar una filtración de datos del cliente. En segundo lugar, un bucket s3 mal configurado que permite el acceso de escritura pública se puede usar para servir o controlar malware, dañar un sitio web alojado en un servicio de almacenamiento en la nube, almacenar cualquier cantidad de datos a su cargo e incluso cifrar sus archivos con el fin de exigir un rescate.
En la evidencia previa, estamos listando el contenido del Bucket sin credenciales.
Si tenemos el permiso de s3:PutObject
, podríamos reportar que este Bucket podría ser usado por ciberdelincuentes para la distribución de malware.
Finalmente, también se debe revisar los siguientes mecanismos de seguridad adicionales:
Estas configuraciones ofrecen una capa adicional de protección para garantizar que los objetos S3 (archivos) no puedan ser eliminados accidental o intencionalmente por los usuarios de AWS que tienen acceso a los Buckets.
Y el control de versiones de Buckets, le permiten recuperar objetos ante su eliminación o sobreescritura accidental.
En ciertas ocasiones, los Buckets son utilizados para almacenar sitios web estáticos y si se tiene acceso de escritura, se podría hacer una inclusión de código malicioso por medio de Javascript.