20 أكتوبر، 2011
تعرّف الباحثون الأمنيون مؤخرًا على ثغرات أمنية محتملة في تقنيات تغليف التوقيعات والبرمجة عبر المواقع التي تستخدمها بعض "خدمات AWS". وقد تم تصحيح الثغرات الأمنية المحتملة ولم يتأثر أي عملاء. وفيما يلي ملخص لنتائج البحث وتذكير بأفضل الممارسات للتحقق الصحيح من المستخدم. لم يكن العملاء المطبقون لأفضل ممارسات AWS الأمنية عرضةً لتلك الثغرات الأمنية.
وقد أظهر البحث أن الأخطاء في تحليل SOAP ربما نتجت عن طلبات SOAP مصممة خصيصًا بعناصر رسالة مزدوجة و/أو تفتقد إلى التوقيعات المشفّرة التي تتم معالجتها. وإذا حدث ذلك، فمن المحتمل أن أحد المهاجمين القادرين على الوصول إلى رسالة SOAP غير مشفرة قد تمكّن من اتخاذ إجراءات كأنه مستخدم صالح ثم اتخذ إجراءات EC2 غير صالحة. فعلى سبيل المثال، إذا تمكّن مهاجمٌ من الحصول على طلب SOAP مُنتَج وموُقَّع مسبقًا لأحد عملاء EC2، أو شهادة X.509 عامة تخص عميلاً، فمن المحتمل أن يتمكّن من إنتاج طلبات SOAP عشوائية بالنيابة عن عميلٍ آخر.
في حين يصعب الحصول على طلب soap أو شهادة X.509 موقَّعة مسبقًا، فقد ذكر الباحثون أن المهاجم قد يتمكن من تحقيق ذلك إذا أرسل العميل طلبات SOAP الخاصة به على HTTP بدلاً من HTTPS في بيئة عامة عرضة للاعتراض أو إذا ترك المحتوى الكامل لتقارير SOAP الخاصة به في مكان يمكن وصول المهاجم إليه (مثل منتدى مراسلات عام). بالإضافة إلى ذلك، اكتشف الباحثون الأمنيون وأبلغوا عن عيوب برمجة عبر مواقع (XSS) التي يُحتمل أنها قد استُخدمت للحصول على شهادة X.509 العامة الخاصة بالعميل. وقد يتيح الحصول على شهادة X.509 العامة الخاصة بالعميل للمهاجم إنتاج طلبات SOAP عشوائية بالنيابة عن العميل، ما يسمح باستغلال الثغرة الأمنية الموصوفة أعلاه.
تم تصحيح كلتا ثغرتي SOAP وXSS الأمنيتين وتوصل سجل تحليل مفصّل إلى أنه لم يتأثر أي عملاء بهاتين الثغرتين.
وكتذكير، توصي AWS بعددٍ من أفضل الممارسات الأمنية لحماية عملائنا:
- لا تستخدم إلا نقطة نهاية SSL المؤمّنة/ HTTPS لأي خدمة AWS وتحقق من تأدية مرافق العميل مصادقة نظراء مناسبة على الشهادة. تستخدم نسبة مئوية صغيرة جدًا من كل مكالمات AWS API المصدّقة نقاط نهاية لا تعتمد على SSL، وتنوي AWS إهمال نقاط نهاية API التي لا تعتمد على SSL في المستقبل.
- مكّن المصادقة متعددة العوامل (MFA) أو استخدمها للوصول إلى وحدة إدارة AWS.
- أنشئ حسابات Identity and Access Management (IAM) بأدوار ومسؤوليات محدودة بحيث تقتصر إمكانية الوصول على تلك الموارد اللازمة لهذه الحسابات على وجه الخصوص.
- احصر إمكانية وصول API والتفاعل تحديدًا فيما بعد بعنوان IP المصدر، باستخدام قيود IAM لسياسة عنوان IP المصدر.
- غيِّر بيانات اعتماد AWS بانتظام، بما فيها المفاتيح السرية، وشهادات X.509، وأزواج المفاتيح.
- أثناء استخدام "وحدة الإدارة في AWS"، قلل إلى الحد الأدنى من التفاعل مع مواقع الويب الأخرى أو تجنّبه تمامًا، واتّبع الممارسات الآمنة لتصفح الإنترنت، بقدر ما تقتضيه المعاملات البنكية أو الأنشطة المهمة / الضرورية بدرجة مشابهة على شبكة الإنترنت.
- يجب على عملاء AWS أيضًا مراعاة استخدام آليات وصول API بخلاف SOAP، مثل REST / Query.
تودّ AWS شكر الأشخاص التاليين للإبلاغ عن هذه الثغرات الأمنية ومشاركتهم لنا في شغفنا بالأمن:
جوراج سوموروفسكي، وماريو هايدريتش، ومايكو ينسن، ويورج شوينك من Ruhr-University Bochum، ألمانيا
نيلس جروشكا من NEC Europe
لويجي لو لاكونو من جامعة Cologne University للعلوم التطبيقية، ألمانيا
يعد الأمان أولويتنا الكبرى. نظل ملتزمين بتوفير الخصائص، والآليات، والمساعدة لعملائنا لتحقيق بنية أساسية آمنة لـ AWS. يمكن لفت انتباهنا إلى الأسئلة أو المخاوف المتعلقة بالأمن عبر aws-security@amazon.com.