20 octobre 2011

Des chercheurs en sécurité ont identifié récemment des vulnérabilités potentielles dans les techniques d'encapsulation de signatures et les scripts entre sites avancés utilisés par certains services AWS. Les vulnérabilités potentielles ont été corrigées et aucun client n'a été impacté. Vous trouverez ci-dessous le résumé des résultats de la recherche et un rappel des meilleures pratiques pour une validation appropriée des utilisateurs. Les clients mettant pleinement en œuvre les meilleures pratiques de sécurité AWS n'étaient pas sensibles à ces vulnérabilités.

La recherche a montré que des erreurs dans l'analyse SOAP pouvaient avoir entraîné des demandes SOAP spécialement conçues avec des éléments de message en double et/ou des signatures cryptographiques manquantes. Si cela devait se produire, un attaquant ayant accès à un message SOAP non chiffré pourrait potentiellement prendre des mesures comme utilisateur valide et effectuer des actions EC2 non valides. Par exemple, si un pirate pouvait obtenir de manière inappropriée une demande SOAP préalablement signée et générée d'un client EC2 ou un certificat public X.509 d'un client, il pourrait potentiellement générer des demandes SOAP arbitraires au nom d'un autre client.

Bien qu'il soit difficile d'obtenir une demande de SOAP pré-signée ou un certificat X.509, les chercheurs ont déclaré que cela pourrait être accompli par un pirate si le client envoyait ses demandes SOAP via HTTP au lieu de HTTPS dans un cadre public sujet à l'interception ou s'il laissait le contenu complet de ses demandes SOAP dans un emplacement (tel qu'un forum de messagerie public) accessible à un pirate. De plus, les chercheurs en sécurité ont découvert et signalé d’autres failles d'attaques de scripts inter-site (XSS) qui auraient pu être utilisées pour obtenir le certificat public X.509 du client. L'obtention du certificat public X.509 d'un client de cette manière pourrait permettre à un pirate de générer des requêtes SOAP arbitraires au nom du client, permettant ainsi l'exploitation de la vulnérabilité décrite ci-dessus.

Les failles SOAP et XSS ont été corrigées, et une analyse approfondie des journaux a déterminé qu'aucun client n'était affecté.

Pour rappel, AWS recommande un certain nombre de meilleures pratiques de sécurité pour protéger nos clients :

  • Utilisez uniquement le point de terminaison sécurisé SSL/HTTPS pour tout service AWS et assurez-vous que vos utilitaires clients effectuent la validation de certificat d'homologue appropriée. Un très faible pourcentage de tous les appels d'API AWS authentifiés utilisent des points de terminaison non SSL, et AWS a l'intention de rendre obsolètes les points de terminaison d'API non-SSL à l'avenir.
  • Activez et utilisez Multi-Factor Authentication (MFA) pour l'accès à AWS Management Console.
  • Créez des comptes Identity and Access Management (IAM) ayant des rôles et des responsabilités limités, restreignant l'accès aux seules ressources spécifiquement nécessaires à ces comptes.
  • Limitez davantage l'accès à l'API et l'interaction par IP source, en utilisant les restrictions de stratégie IP source IAM.
  • Changez régulièrement les informations d'identification AWS, notamment les clés secrètes, les certificats X.509 et les paires de clés.
  • Lorsque vous utilisez AWS Management Console, minimisez ou évitez l'interaction avec d'autres sites Web et suivez des pratiques de navigation Internet sécuritaires, tout comme vous devriez le faire pour les opérations bancaires ou les activités en ligne tout aussi importantes ou critiques.
  • Les clients AWS doivent également envisager d'utiliser des mécanismes d'accès API autres que SOAP, tels que REST/Query.

AWS souhaite remercier les personnes suivantes pour avoir signalé ces failles et partager notre passion pour la sécurité :
Juraj Somorovsky, Mario Heiderich, Meiko Jensen, et Jörg Schwenk de la Ruhr-University Bochum, Allemagne
Nils Gruschka de NEC Europe
Luigi Lo Iacono de la Cologne University of Applied Sciences, Allemagne

La sécurité est notre priorité absolue. Nous restons déterminés à fournir des fonctionnalités, des mécanismes et une assistance à nos clients pour réaliser une infrastructure AWS sécurisée. Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com.