20 ottobre 2011
Di recente, gli esperti di sicurezza hanno individuato potenziali vulnerabilità nelle tecniche di wrapping delle firme e nel cross-site scripting avanzato utilizzati da alcuni servizi AWS. Le potenziali vulnerabilità sono state corrette e non hanno avuto alcun impatto sui clienti. Di seguito forniamo un riepilogo dei risultati delle ricerche e un promemoria sulle buone pratiche per una corretta convalida degli utenti. I clienti che attuano pienamente le buone pratiche di sicurezza di AWS non hanno risentito di queste vulnerabilità.
La ricerca ha rilevato che gli errori nell'analisi SOAP può avere causato la creazione di speciali richieste SOAP con elementi dei messaggi duplicati e/o firme crittografiche assenti. In simili circostanze, un malintenzionato dotato dell'accesso a un messaggio SOAP non crittografato avrebbe potuto agire in qualità di un altro utente valido ed eseguire azioni EC2 non valide. Per esempio, se un malintenzionato avesse potuto impropriamente ottenere la richiesta SOAP di un cliente EC2 oppure il certificato X.509 pubblico di un cliente generati in precedenza e già firmati, avrebbe potuto generare in modo arbitrario delle richieste SOAP per conto di un altro cliente.
Sebbene sia difficile ottenere un certificato X.509 o una richiesta SOAP già firmati, gli esperti affermano che un malintenzionato avrebbe potuto farlo se un cliente avesse inviato le richieste SOAP tramite HTTP anziché HTTPS in un ambiente pubblico soggetto a intercettazione oppure se avesse lasciato l'intero contenuto delle sue richieste SOAP in una posizione accessibile a un malintenzionato (per esempio un forum di discussione pubblico). Inoltre, gli esperti di sicurezza hanno scoperto e segnalato altre falle di Cross-Site Scripting (XSS) che avrebbero potuto essere utilizzate per ottenere il certificato X.509 pubblico di un cliente. Ottenere il certificato X.509 pubblico di un cliente con queste modalità consentirebbe a un malintenzionato di generare richieste SOAP arbitrarie per conto del cliente, consentendogli di sfruttare la vulnerabilità descritta in precedenza.
Le vulnerabilità SOAP e XSS sono state corrette e un'analisi approfondita dei log ha evidenziato che nessun cliente ne ha risentito.
Come promemoria, AWS consiglia una serie di buone pratiche di sicurezza per tutelare i nostri clienti:
- Utilizza soltanto endpoint con protezione SSL/HTTPS per tutti i servizi AWS e verifica che le utilità del tuo client eseguano un'adeguata convalida dei certificati dei peer. Una ridotta percentuale di tutte le chiamate API AWS autenticate utilizza endpoint senza protezione SSL; in futuro, AWS intende rendere obsolete le API non protette da SSL.
- Attiva e utilizza la Multi-Factor Authentication (MFA) per accedere alla Console di gestione AWS.
- Crea account Identity and Access Management (IAM) dotati di ruoli e responsabilità limitati, restringendo l'accesso soltanto alle risorse specificatamente necessarie a tali account.
- Limita ulteriormente l'accesso e le interazioni con le API in base all'IP sorgente utilizzando le restrizioni alle policy relative all'IP sorgente di IAM.
- Modifica a intervalli regolari le credenziali AWS, incluse le chiavi segrete, i certificati X.509 e le coppie di chiavi.
- Quando utilizzi la Console di gestione AWS, riduci o evita l'interazione con altri siti Web e adotta pratiche sicure di navigazione su Internet, proprio come faresti per le attività di banking o altre attività online di analoga importanza/criticità.
- I clienti AWS dovrebbero inoltre valutare l'utilizzo di meccanismi di accesso alle API alternativi a SOAP, come per esempio REST/Query.
AWS ringrazia sentitamente le seguenti persone per avere segnalato le vulnerabilità e per condividere la nostra passione per la sicurezza:
Juraj Somorovsky, Mario Heiderich, Meiko Jensen e Jörg Schwenk dell'Università della Ruhr a Bochum, Germania
Nils Gruschka di NEC Europe
Luigi Lo Iacono dell'Università di Scienze applicate di Colonia, Germania
La sicurezza è da sempre la maggiore priorità per AWS. Siamo costantemente impegnati a offrire funzionalità, meccanismi e assistenza affinché i clienti realizzino una struttura AWS protetta. È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.