20. Oktober 2011

Sicherheitsanalysten haben kürzlich mögliche Schwachstellen durch Signature-Wrapping-Techniken und fortgeschrittenes Cross-Site-Scripting identifiziert, die auf einige AWS-Services zutreffen. Die möglichen Schwachstellen wurden behoben und es gab keine negativen Auswirkungen auf die Kunden. Nachfolgend finden Sie eine Zusammenfassung der Erkenntnisse und eine Auffrischung für die bewährten Methoden zur effektiven Benutzerkontrolle. Kunden, die die bewährten Sicherheitsmethoden von AWS vollständig implementiert hatten, konnten diese Schwachstellen nichts anhaben.

Die Analysen haben gezeigt, dass Fehler beim SOAP-Parsing speziell erzeugte SOAP-Anfragen verursacht haben könnten, bei denen doppelte Nachrichtenelemente und/oder fehlende kryptografische Signaturen verarbeitet wurden. Dadurch könnte ein Angreifer mit Zugang zu einer unverschlüsselten SOAP-Nachricht als zusätzlicher gültiger Benutzer unzulässige EC2- oder andere Aktionen durchführen. Wenn sich ein Angreifer beispielsweise eine zuvor erzeugte, vorsignierte SOAP-Anfrage eines EC2-Kunden oder ein öffentliches X.509-Zertifikat eines Kunden verschaffen würde, könnte er willkürliche SOAP-Anfragen im Namen eines anderen Kunden erzeugen.

Laut den Analysten wäre es zwar schwierig, sich eine vorsignierte SOAP-Anfrage oder ein X.509-Zertifikat zu verschaffen, doch ein Angreifer könnte dies erreichen, wenn der Kunde seine SOAP-Anfragen per HTTP anstatt HTTPS in einem öffentlichen Setting versendet, wo sie abgefangen werden können, oder den gesamten Inhalt seiner SOAP-Anfragen dem Angreifer zugänglich macht (z. B. in einem öffentlichen Forum). Zudem haben die Sicherheitsanalysten weitere Schwachstellen durch Cross-Site-Scripting (XSS) festgestellt und berichtet, die ausgenutzt werden hätten können, um sich das öffentliche X.509-Zertifikat des Kunden zu verschaffen. Wenn sich ein Angreifer auf diese Weise das öffentliche X.509-Zertifikat eines Kunden beschafft, könnte er willkürliche SOAP-Anfragen im Namen des Kunden versenden und die oben beschriebene Schwachstelle ausnutzen.

Die beiden SOAP- und XSS-Schwachstellen wurden behoben und eine umfangreiche Auswertung der Protokolle hat ergeben, dass keine Kunden davon betroffen sind.

AWS empfiehlt hier zur Auffrischung einige bewährte Sicherheitsmethoden für den Schutz der Kunden:

  • Verwenden Sie nur den SSL-gesicherten/HTTPS-Endpunkt für AWS-Services und stellen Sie sicher, dass Ihre Client-Dienstprogramme die Peer-Zertifikate korrekt überprüfen. Ein sehr geringer Anteil aller authentifizierten AWS-API-Aufrufe verwendet SSL-lose Endpunkte – und AWS beabsichtigt, SSL-lose Endpunkte in Zukunft zu missbilligen.
  • Aktivieren und verwenden Sie die Multi-Factor Authentication (MFA) für den Zugriff auf die AWS-Managementkonsole.
  • Erstellen Sie IAM-Konten (Identity and Access Management) mit eingeschränkten Rollen und Verantwortungsbereichen, damit der Zugriff auf die Personen beschränkt ist, die diese Konten wirklich benötigen.
  • Schränken Sie den API-Zugriff und die Interaktion zusätzlich nach Quell-IP ein, indem Sie IAM-Quell-IP-Richtlinien-Einschränkungen verwenden.
  • Ändern Sie regelmäßig die AWS-Anmeldedaten, einschließlich Geheimschlüssel, X.509-Zertifikate und Schlüsselpaare.
  • Minimieren oder vermeiden Sie die Interaktion mit anderen Webseiten und befolgen Sie die bewährten Methoden zum sicheren Browsen, wenn Sie die AWS-Managementkonsole verwenden, so wie Sie es auch beim Banking oder ähnlich wichtigen/kritischen Onlineaktivitäten machen sollten.
  • AWS-Kunden sollten auch erwägen, andere API-Zugriffsmechanismen als SOAP zu verwenden, beispielsweise REST/Query.

AWS möchte den folgenden Personen dafür danken, dass sie diese Schwachstellen gemeldet haben und dass ihnen die Sicherheit genauso am Herzen liegt wie uns:
Juraj Somorovsky, Mario Heiderich, Meiko Jensen und Jörg Schwenk der Ruhr-Universität Bochum, Nordrhein-Westfalen
Nils Gruschka von NEC Europe
Luigi Lo Iacono der Technischen Hochschule Köln, Nordrhein-Westfalen

Sicherheit hat bei uns oberste Priorität. Unser Ziel ist es weiterhin, Features, Mechanismen und Unterstützung für unsere Kunden bereitzustellen, damit diese eine sichere AWS-Infrastruktur realisieren können. Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.