Identificando vulnerabilidades en S3

Las configuraciones incorrectas en los depósitos de Amazon Web Services (AWS) S3 representan uno de los vectores de riesgo más significativos en la nube, especialmente debido a los permisos de acceso de lectura y escritura mal configurados. Estos riesgos no solo comprometen la seguridad de los datos almacenados, sino que también pueden tener implicaciones legales y financieras graves para las organizaciones.

Riesgo de Filtración de Datos por Permisos de Lectura Pública

Un bucket de S3 configurado incorrectamente para permitir acceso público de lectura puede exponer información sensible del cliente, secretos comerciales, o datos confidenciales a internet. Esta exposición no autorizada puede resultar en:

• Violaciones de Privacidad: Datos personales, registros financieros o información de salud expuestos pueden llevar a violaciones de normativas de protección de datos como GDPR, HIPAA, entre otras.

• Daño a la Reputación: La filtración de datos sensibles puede erosionar la confianza del cliente y dañar la reputación de una organización.

• Pérdidas Financieras: La exposición de datos críticos puede resultar en pérdidas financieras directas, ya sea por la explotación de la información expuesta o por sanciones impuestas por reguladores.

Riesgo de Manipulación y Malware por Permisos de Escritura Pública

Por otro lado, un bucket de S3 que permite acceso de escritura pública puede ser abusado de varias maneras:

• Distribución de Malware: Los atacantes pueden cargar malware o contenido malicioso, utilizando el bucket como plataforma para lanzar ataques o distribuir software dañino.

• Defacement de Sitios Web: Si el bucket se utiliza para alojar un sitio web, los atacantes pueden modificar o reemplazar los archivos existentes, alterando el contenido del sitio web (defacement).

• Cargas no Autorizadas: Los atacantes pueden utilizar el bucket para almacenar grandes cantidades de datos ilegales o no deseados, incurriendo en costos significativos para la víctima.

• Ransomware: Existe el riesgo de que los atacantes cifren archivos almacenados en el bucket y exijan un rescate para su descifrado, similar a un ataque de ransomware tradicional.

Para los Buckets siempre es recomendable revisar la política del Bucket ya que en esta podemos encontrar fallas de seguridad:

El enlace para la política utilizada en este Bucket es:

La politica contiene lo siguiente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::spartan-cpna",
        "arn:aws:s3:::spartan-cpna/*"
      ]
    }
  ]
}

Dependiendo de los requerimientos, podríamos decir que en este Bucket hay una vulnerabilidad que podría ser categorizada como baja.

Por buenas prácticas, Se recomienda restringir siempre los tipos de archivos subidos por medio de una política sobre los Buckets utilizando listas blancas.

Por ejemplo:

"Resource": [
  "arn:aws:s3:::<yourbucket>/*.jpg",
  "arn:aws:s3:::<yourbucket>/*.png",
  "arn:aws:s3:::<yourbucket>/*.gif",
]

La politica completa quedaria asi:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::spartan-cpna/*.jpg",
        "arn:aws:s3:::spartan-cpna/*.png",
        "arn:aws:s3:::spartan-cpna/*.gif",
      ]
    }
  ]
}

En resumen, esta política de bucket permite al titular de la política realizar cualquier acción (s3:*) sobre los archivos con extensiones .jpg, .png, y .gif que estén dentro del bucket llamado spartan-cpna.

En resumen, la política actual del Bucket podría permitir a un atacante subir archivos con extensiones categorizadas como maliciosas como por ejemplo EXE.

Por otro lado, si durante la auditoria encontramos un Bucket con acceso público y este contiene información sensible; podríamos afirmar que existe una vulnerabilidad alta.

Ya que un bucket s3 mal configurado que permite el acceso público de lectura puede provocar una filtración de datos del cliente. En segundo lugar, un bucket s3 mal configurado que permite el acceso de escritura pública se puede usar para servir o controlar malware, dañar un sitio web alojado en un servicio de almacenamiento en la nube, almacenar cualquier cantidad de datos a su cargo e incluso cifrar sus archivos con el fin de exigir un rescate.

C:\Users\gerh-> aws s3 ls s3://cpna-spartan-public --no-sign-request
                           PRE Importante/
2023-10-10 22:17:04        185 assumerolepolicy.json
2023-04-28 09:21:46      72561 backup.csv
2024-03-06 19:10:40         19 ejemplo.txt
2023-04-28 09:20:42      38616 nc.exe
2024-03-05 17:05:33         11 nc2.exe
2023-10-10 22:17:05        283 politica-bucket.json

En la evidencia previa, estamos listando el contenido del Bucket sin credenciales.

Si tenemos el permiso de s3:PutObject, podríamos reportar que este Bucket podría ser usado por ciberdelincuentes para la distribución de malware.

C:\Users\gerh-> aws s3 cp ./mimikatz.exe s3://cpna-spartan-public --no-sign-request
upload: .\mimikatz.exe to s3://cpna-spartan-public/mimikatz.exe

C:\Users\gerh-> aws s3 ls s3://cpna-spartan-public --no-sign-request
                           PRE Importante/
2023-10-10 22:17:04        185 assumerolepolicy.json
2023-04-28 09:21:46      72561 backup.csv
2024-03-06 19:10:40         19 ejemplo.txt
2023-04-28 09:20:42      38616 nc.exe
2024-03-05 17:05:33         11 nc2.exe
2024-03-05 17:05:33    1111111 mimikatz.exe
2023-10-10 22:17:05        283 politica-bucket.json

Finalmente, también se debe revisar los siguientes mecanismos de seguridad adicionales:

Estas configuraciones ofrecen una capa adicional de protección para garantizar que los objetos S3 (archivos) no puedan ser eliminados accidental o intencionalmente por los usuarios de AWS que tienen acceso a los Buckets.

Y el control de versiones de Buckets, le permiten recuperar objetos ante su eliminación o sobreescritura accidental.