Los investigadores de seguridad de Aquasec descubrieron recientemente una vulnerabilidad crítica en el kit de desarrollo de nube (CDK) de AWS. Esta vulnerabilidad podría permitir a un atacante obtener acceso administrativo completo a una cuenta de AWS específica.
Este problema se informó a AWS en junio de 2024 y afecta a los usuarios de CDK que utilizan la versión v2.148.1 y anteriores.
La vulnerabilidad se debe a la convención de nomenclatura predecible utilizada por AWS CDK al crear recursos durante el proceso de arranque.
De forma predeterminada, CDK crea un depósito S3 con un nombre que sigue el patrón cdk-hnb659fds-assets-{account-ID}-{Región}.
Si el usuario elimina este depósito después del arranque, un atacante puede crear un depósito con el mismo nombre en su cuenta y reclamarlo.
Seminario web gratuito sobre cómo proteger su sitio web y API de ciberataques -> Únase aquí
Cuando la víctima realiza una implementación de CDK, la instancia de CDK confía en el depósito controlado por el atacante y escribe allí la plantilla de CloudFormation.
Luego, un atacante puede modificar estas plantillas e inyectar recursos maliciosos, como funciones de administrador.
Cadena de ataque AWS CDK | Fuente: Aquasec
El servicio CloudFormation de la víctima implementa recursos con privilegios de administrador de forma predeterminada, lo que permite que la plantilla de puerta trasera se ejecute en la cuenta de la víctima y le otorga al atacante control total.
La investigación de más de 38.000 ID de cuentas conocidas reveló que aproximadamente el 1 % de los usuarios de CDK son susceptibles a este vector de ataque.
De las 782 cuentas identificadas con CDK instalado, 81 (10%) eran vulnerables debido a la falta de depósitos de preparación.
AWS ha publicado una solución para las versiones de CDK v2.149.0 y posteriores que agrega una condición para garantizar que el rol solo confíe en los depósitos de la cuenta del usuario.
Sin embargo, los usuarios de versiones anteriores deberán actualizar y volver a ejecutar el comando cdk bootstrap.
Los expertos en seguridad recomiendan tratar los ID de cuentas de AWS como información confidencial, utilizar condiciones en las políticas de IAM para limitar el acceso a recursos confiables y evitar nombres de depósitos S3 predecibles.
Este hallazgo resalta la importancia de mantenerse actualizado con los últimos parches de seguridad y seguir las mejores prácticas al utilizar herramientas de infraestructura en la nube como AWS CDK.
A medida que más organizaciones adoptan prácticas de Infraestructura como Código (IaC), es importante permanecer atentos a posibles vulnerabilidades que pueden generar costosas infracciones.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
