20 Oktober 2011
Para peneliti keamanan baru-baru ini mengidentifikasi kerentanan potensial pada teknik pengemasan khas dan pembuatan skrip lintas situs lanjutan yang digunakan oleh beberapa layanan AWS. Kerentanan potensial telah diperbaiki dan tidak ada pelanggan yang terkena dampaknya. Berikut adalah ringkasan temuan riset dan pengingat praktik terbaik untuk validasi pengguna yang layak. Pelanggan yang menerapkan sepenuhnya praktik terbaik keamanan AWS tidak rentan terhadap masalah ini.
Riset menunjukkan bahwa kesalahan pada parsing SOAP mungkin telah menghasilkan permintaan SOAP yang dibuat secara khusus diproses bersama elemen pesan duplikat dan/atau tanda tangan kriptografis yang hilang. Jika hal ini terjadi, penyerang yang memiliki akses ke pesan SOAP yang tidak terenkripsi dapat berpotensi mengambil tindakan sebagai pengguna valid lain dan melakukan tindakan EC2 yang tidak valid. Contohnya, jika penyerang secara tidak sah memperoleh permintaan SOAP yang sebelumnya dihasilkan dan telah ditandatangani dari pelanggan EC2, atau sertifikat X.509 publik milik pelanggan, penyerang dapat menghasilkan permintaan SOAP arbitrer atas nama pelanggan lain.
Walau sulit memperoleh permintaan SOAP yang telah ditandatangani atau sertifikat X.509, peneliti menyatakan bahwa ini berpotensi dapat diperoleh penyerang jika pelanggan mengirimkan permintaan SOAP mereka melalui HTTP, bukan HTTPS, pada pengaturan publik yang rentan terkena gangguan atau meninggalkan seluruh konten permintaan SOAP mereka di lokasi yang dapat diakses penyerang (seperti forum perpesanan publik). Selain itu, para peneliti keamanan menemukan dan melaporkan kelemahan lain dari Cross-Site Scripting (XSS) yang mungkin telah digunakan untuk memperoleh sertifikat X.509 publik pelanggan. Memperoleh sertifikat X.509 publik pelanggan dengan cara ini memungkinkan penyerang untuk menghasilkan permintaan SOAP arbitrer atas nama pelanggan sehingga eksploitasi kerentanan yang dijelaskan di atas dapat terjadi.
Kerentanan SOAP dan XSS telah diperbaiki dan analisis log yang ekstensif telah menetapkan bahwa tidak ada pelanggan yang terkena dampaknya.
Sebagai pengingat, AWS menganjurkan sejumlah praktik terbaik keamanan untuk melindungi pelanggan kami:
- Hanya gunakan titik akhir yang diamankan SSL/HTTPS untuk layanan AWS mana pun dan pastikan bahwa utilitas klien Anda melakukan validasi sertifikat peer yang tepat. Persentase yang sangat kecil dari seluruh panggilan API AWS yang diautentikasi menggunakan titik akhir non-SSL, dan AWS bermaksud untuk tidak lagi menggunakan titik akhir API non-SSL di masa mendatang.
- Aktifkan dan gunakan Multi-Factor Authentication (MFA) untuk akses AWS Management Console.
- Buat akun Identity and Access Management (IAM) yang telah membatasi peran dan tanggung jawab, membatasi akses hanya untuk sumber daya yang dibutuhkan secara spesifik oleh akun tersebut.
- Batasi akses dan interaksi API secara lebih lanjut dengan IP sumber, gunakan pembatasan kebijakan IP sumber IAM.
- Rotasikan kredensial AWS secara berkala, termasuk Secret Keys, sertifikat X.509, dan Keypairs.
- Saat menggunakan AWS Management Console, minimalkan atau hindari interaksi dengan situs web lain dan ikuti praktik browsing Internet aman, seperti yang harus Anda lakukan untuk perbankan atau aktivitas online krusial/penting yang serupa.
- Pelanggan AWS juga harus mempertimbangkan penggunaan mekanisme akses API selain SOAP, seperti REST/Query.
AWS ingin berterima kasih kepada beberapa orang berikut karena telah melaporkan kerentanan ini dan mendukung semangat kami untuk keamanan:
Juraj Somorovsky, Mario Heiderich, Meiko Jensen, dan Jörg Schwenk dari Ruhr-University Bochum, Jerman
Nils Gruschka dari NEC Europe
Luigi Lo Iacono dari Cologne University of Applied Sciences, Jerman
Keamanan adalah prioritas utama kami. Kami tetap berkomitmen untuk menyediakan beragam fitur, mekanisme, dan bantuan bagi pelanggan kami untuk mewujudkan infrastruktur AWS yang aman. Pertanyaan atau masalah yang terkait dengan keamanan dapat dikirim ke aws-security@amazon.com.