20 Ekim 2011
Güvenlik araştırmacıları yakın zamanda, bazı AWS hizmetleri tarafından kullanılan imza paketleme tekniklerinde ve gelişmiş siteler arası betiklerde potansiyel güvenlik açıkları tespit etmiştir. Potansiyel güvenlik açıkları giderilmiştir ve hiçbir müşteri bunlardan etkilenmemiştir. Araştırma bulguları ve düzgün kullanıcı doğrulama için en iyi uygulamalar aşağıda özetlenmiştir. AWS güvenlik en iyi uygulamalarını tamamen kullanan müşteriler bu güvenlik açıklarına maruz kalmamıştır.
Yapılan araştırma, SOAP ayrıştırmadaki hataların, yinelenen mesaj öğelerine ve/veya eksik şifrelenmiş imzalara sahip SOAP isteklerinin işlenmesine neden olmuş olabileceğini göstermiştir. Böyle bir durumda, şifrelenmemiş bir SOAP mesajına erişebilen bir saldırgan, potansiyel olarak başka bir geçerli kullanıcının kimliğiyle eylem gerçekleştirebilir ve geçersiz EC2 eylemleri yürütebilir. Örneğin bir saldırgan, bir EC2 müşterisinin daha önce oluşturulmuş ve önceden imzalanmış bir SOAP isteğini ya da bir müşterinin genel X.509 sertifikasını uygunsuz bir şekilde ele geçirirse, potansiyel olarak başka bir müşterinin adına rastgele SOAP istekleri oluşturabilir.
Önceden imzalanmış bir SOAP isteğini veya bir X.509 sertifikasını ele geçirmek oldukça zor olsa da araştırmacılar müşterinin SOAP isteklerini kesme riskine açık olan bir genel ortamda HTTPS yerine HTTP üzerinden göndermesi ya da SOAP isteklerinin tam içeriğini bir saldırganın erişebildiği bir konumda (bir genel mesajlaşma forumu gibi) bırakması durumunda, bunun bir saldırgan tarafından gerçekleştirilebileceğini belirtmiştir. Bunun yanı sıra güvenlik araştırmacıları, müşterinin genel X.509 sertifikasını ele geçirmek için kullanılabilecek başka Siteler Arası Betik Oluşturma (XSS) kusurları keşfetmiş ve raporlamıştır. Bir müşterinin genel X.509 sertifikasının bu şekilde ele geçirilmesi, bir saldırganın müşteri adına rastgele SOAP istekleri oluşturmasına izin vererek, yukarıda açıklanan güvenlik açığından yararlanmasına olanak tanıyabilir.
Hem SOAP hem de XSS güvenlik açıkları düzeltilmiş olup kapsamlı günlük analizleri sonucunda hiçbir müşterinin etkilenmediği görülmüştür.
AWS olarak, müşterilerimizin korunması için çok sayıda güvenlik en iyi uygulamasını önerdiğimizi hatırlatmak isteriz:
- Herhangi bir AWS hizmeti için sadece SSL korumalı / HTTPS uç noktasını kullanın ve istemci yardımcı programlarınızın düzgün eş sertifikası doğrulaması gerçekleştirdiğinden emin olun. Kimliği doğrulanmış tüm AWS API çağrıları içerisinde SSL korumalı olmayan uç nokta kullanma oranı son derece düşüktür. AWS, SSL korumalı olmayan API uç noktalarını gelecekte kullanımdan kaldırmayı planlamaktadır.
- AWS Management Console erişimi için Multi-Factor Authentication (MFA) hizmetini etkinleştirin ve kullanın.
- Sınırlı rol ve sorumluluklara sahip Identity and Access Management (IAM) hesapları oluşturarak, her bir hesaba sadece özellikle erişmesi gereken şeyler için erişim verin.
- IAM kaynak IP politikası kısıtlamalarını kullanarak API erişimini ve etkileşimi, kaynak IP ile daha fazla kısıtlayın.
- Gizli Anahtarlar, X.509 sertifikaları ve Anahtar Çiftleri dahil olmak üzere AWS kimlik bilgilerini düzenli aralıklarla değiştirin.
- AWS Management Console’u kullanırken diğer web siteleriyle etkileşimi en aza indirin ve mümkünse sıfırlayın. Tıpkı bankacılık ve diğer önemli / kritik çevrimiçi etkinliklerinizde yaptığınız gibi, internette emniyetli gezinme uygulamalarını izleyin.
- AWS müşterileri ayrıca REST/Query gibi, SOAP dışındaki API erişimi mekanizmalarını kullanmayı da göz önünde bulundurmalıdır.
AWS olarak, bu güvenlik açıklarını bildiren ve güvenlik tutkumuzu paylaşan şu kişilere teşekkür ediyoruz:
Juraj Somorovsky, Mario Heiderich, Meiko Jensen ve Jörg Schwenk, Bochum Ruhr Üniversitesi, Almanya
Nils Gruschka, NEC Europe
Luigi Lo Iacono, Köln Uygulamalı Bilimler Üniversitesi, Almanya
Güvenlik en büyük önceliğimizdir. Müşterilerimiz için özellikler, mekanizmalar ve yardım sunarak güvenli bir AWS altyapısı sağlama konusunda kararlılığımızı sürdürüyoruz. Güvenlikle ilgili sorularınızı veya kaygılarınızı aws-security@amazon.com aracılığıyla bize bildirebilirsiniz.