Vulnerabilidad zero-day en AWS Glue

El pasado 13 de enero de este año, los investigadores Orca Security Research Team publicaron una vulnerabilidad zero-day en AWS Glue que permitía a un atacante crear recursos y acceder a la información de otros usuarios del servicio.

Antes de entrar a detallar en qué consiste la vulnerabilidad, es necesario entender cuál es la funcionalidad del servicio.

AWS Glue se trata de un servicio serverless utilizado para integrar datos, de manera que sea más sencillo descubrir, preparar y combinar la información para procesos de análisis, machine learning, y desarrollo de aplicaciones. Algunos de sus componentes principales que ayudan en el objetivo final del servicio son:

• AWS Glue Data Catalog: permite almacenar, comentar y compartir metadatos disponibles en AWS. Todas las cuentas de AWS tienen este servicio habilitado en cada región. Permite catalogar la información y extraerla.
• AWS Glue DataBrew: se trata de una herramienta visual que posibilita la limpieza y normalización de la información sin necesidad de escribir código.
• AWS Glue Studio: interfaz gráfica que facilita la creación, ejecución y monitorización de tareas ETL (extract, monitor, transform) en AWS Glue,
• AWS Glue Elastic Views: facilita la creación de «vistas» que combinan y replican información entre múltiples sistemas de almacenamiento sin necesidad de escribir código.

Toda la lógica de negocio se realiza mediante tareas denominadas «Glue jobs», cuya función es extraer la información, procesarla y almacenarla en una ubicación concreta.

¿En qué consiste la vulnerabilidad?

El fallo detectado por los investigadores consistía en que una de las características de AWS Glue permitía obtener credenciales de un rol propio de la cuenta del servicio, lo que les otorgó acceso completo a la API interna del servicio. Esto, sumado a un error de configuración interno en la API del servicio, permitió a los investigadores escalar privilegios hasta lograr acceso sin restricciones a todos los recursos del servicio en la región, incluyendo privilegios de administrador:

Este rol contrasta con el rol por defecto del servicio:

Tras esto, los investigadores se dieron cuenta de que al identificarse como una identidad de servicio, podrían asumir cualquier rol que tuviese a AWS Glue entre sus identidades de confianza. Al verificar a qué información tenían acceso y qué podían hacer, determinaron lo siguiente:

• Posibilidad de acceder a información de otros clientes de AWS Glue.
• Asumir roles en otras cuentas de AWS establecidas en una relación de confianza con el servicio AWS Glue.
• Hacer peticiones y modificar recursos relacionados con AWS Glue en cada región.

El flujo de trabajo de esta vulnerabilidad zero-day en AWS Glue es, así pues, el siguiente:

1. Un potencial atacante hace uso del servicio AWS Glue en su cuenta de AWS.
2. El atacante hace uso del fallo en AWS Glue para obtener las credenciales de un rol dentro de la cuenta del propio servicio con privilegios de administración.
3. El atacante pasa a ser capaz de asumir cualquier rol que tenga una relación de confianza con AWS Glue.
4. El atacante gana acceso a recursos de otras cuentas de AWS.

Mitigación de la vulnerabilidad

Horas después de que la vulnerabilidad fuese reportada, el equipo del servicio AWS Glue confirmó lo reportado y a la mañana siguiente ya se había aplicado un parche a nivel global, seguido de una solución que mitigaba la vulnerabilidad por completo días más tarde.

Además, AWS confirmó que la vulnerabilidad no había sido explotada por atacantes potenciales para acceder a información de los clientes del proveedor cloud. Los investigadores utilizaron cuentas propias para reproducir todos los pasos detallados anteriormente.

Más información

• Superglue: Orca Security Research Team Discovers AWS Glue Vulnerability
• Superglue: A remediated zero-day vulnerability in AWS Glue
• AWS Glue concepts

La entrada Vulnerabilidad zero-day en AWS Glue se publicó primero en Una al Día.