20 de octubre de 2011
Los investigadores de seguridad han identificado recientemente vulnerabilidades potenciales en las técnicas de encapsulación de firmas y en el scripting avanzado entre sitios que utilizan algunos servicios de AWS. Las vulnerabilidades potenciales se han corregido y ningún cliente ha resultado afectado. A continuación, se presenta un resumen de los descubrimientos de la investigación y un recordatorio de las prácticas recomendadas para la validación adecuada del usuario. Los clientes que implementan todas las prácticas recomendadas sobre seguridad de AWS no fueron susceptibles a estas vulnerabilidades.
La investigación demostró que los errores en los análisis de SOAP podrían haber resultado en solicitudes SOAP especialmente diseñadas con elementos duplicados de mensaje o en el procesamiento de firmas criptográficas faltantes. Si esto ocurriese, un atacante que tenga acceso a un mensaje SOAP que no esté cifrado podría, potencialmente, actuar como si fuera otro usuario válido y llevar a cabo acciones inválidas de EC2. Por ejemplo, si un atacante pudiese obtener de manera inapropiada una solicitud SOAP prefirmada y generada con anterioridad de un cliente de EC2 o un certificado X.509 público de un cliente, podría potencialmente generar solicitudes SOAP arbitrarias en nombre de otro cliente.
Si bien sería difícil obtener una solicitud SOAP prefirmada o un certificado X.509, los investigadores afirmaron que un atacante podría lograrlo si el cliente enviara sus solicitudes SOAP a través de HTTP en lugar de HTTPS en un espacio público sujeto a interceptación o si dejara todo el contenido de sus solicitudes SOAP en una ubicación accesible para un atacante (como un foro público de mensajería). Además, los investigadores de seguridad descubrieron e informaron otras fallas del scripting entre sitios (XSS) que podrían haberse utilizado para obtener el certificado X.509 público del cliente. La obtención del certificado X.509 público del cliente de esta manera podría permitir al atacante generar solicitudes SOAP arbitrarias en nombre del cliente, lo que implicaría una explotación de la vulnerabilidad descrita con anterioridad.
Se han corregido tanto las vulnerabilidades SOAP como las XSS y un amplio análisis de registros ha determinado que ningún cliente resultó afectado.
Como recordatorio, AWS recomienda una serie de prácticas recomendadas de seguridad a fin de proteger a nuestros clientes:
- Solo utilice el punto de enlace HTTPS con seguridad SSL para cualquier servicio de AWS y asegúrese de que los usos de sus clientes lleven a cabo la validación adecuada del certificado del mismo nivel. Un porcentaje muy pequeño de todas las llamadas a la API de AWS autenticadas utilizan puntos de enlace que no cuentan con la seguridad SSL, y AWS tiene la intención de dar de baja estos puntos de enlace de la API que no cuentan con la seguridad SSL en el futuro.
- Habilite y utilice Multi-Factor Authentication (MFA) para obtener acceso a la consola de administración de AWS.
- Cree cuentas de Identity and Access Management (IAM) que tengan roles y responsabilidades limitados, de manera de restringir el acceso solo a aquellos recursos específicamente necesarios para dichas cuentas.
- Limite aún más el acceso a la API y la interacción con ella mediante IP de origen, que permite utilizar las restricciones de política de IP de origen de IAM.
- Rote con frecuencia las credenciales de AWS, que incluyen las claves secretas, los certificados X.509 y los pares de claves.
- Cuando utilice la consola de administración de AWS, minimice o evite la interacción con otros sitios web y siga prácticas seguras de navegación en Internet, de la misma manera que debe hacer para las actividades bancarias u otras igualmente importantes o críticas en línea.
- Los clientes de AWS también deberían considerar la utilización de mecanismos de acceso a la API diferentes a SOAP, como REST o Query.
AWS desea agradecer a las siguientes personas por informar estas vulnerabilidades y compartir nuestra pasión por la seguridad:
Juraj Somorovsky, Mario Heiderich, Meiko Jensen, y Jörg Schwenk de la Universidad Ruhr de Bochum, Alemania
Nils Gruschka de NEC Europe
Luigi Lo Iacono de la Universidad de Ciencias Aplicadas de Colonia, Alemania
La seguridad es nuestra prioridad principal. Seguimos comprometidos con proporcionar funciones, mecanismos y asistencia para nuestros clientes con el fin de que logren una infraestructura de AWS segura. Puede enviarnos sus preguntas o inquietudes relacionadas con la seguridad a través de aws-security@amazon.com.