Datadog 披露 AWS 非生产端点安全问题

Datadog 安全团队近日披露了 AWS 的一个安全问题，攻击者可以利用非生产端点作为攻击面，悄无声息地进行权限枚举。AWS 已修复了这些特定的绕过漏洞。

问题概述

2023 年 6 月，Datadog 发现了两种绕过 AWS CloudTrail 的新场景：

1. 使用某些非生产端点访问账户级别信息的 API 操作。
2. 使用在 CloudTrail 中生成多个事件的 API 调用。

Datadog 的资深安全研究员 Nick Frichette 解释说：

我们发现非生产 AWS API 端点可用于权限枚举，且不会记录到 CloudTrail 中。自我们首次公开披露此技术以来，我们与 AWS 密切合作，展示了攻击者如何利用此方法悄无声息地评估被泄露凭证的权限。

安全风险

研究表明，攻击者可以利用这些非生产端点中的错误配置和漏洞来获取未经授权的访问、提升权限，并可能危及生产环境。这些端点通常被安全措施忽视，因此成为潜在的攻击目标。

修复进展

自问题报告给 AWS 以来，AWS 已修复了两个特定的绕过漏洞：

1. AWS Cost Explorer 中的 CloudTrail 绕过漏洞（ce:GetCostAndUsage）。
2. Route 53 中的 CloudTrail 绕过漏洞（route53resolver:ListFirewallConfigs）。

AWS 安全外联团队要求推迟 Datadog 的发现发布，直到额外的缓解措施推出。Duckbill Group 的首席云经济学家 Corey Quinn 对此表示不满：

AWS 安全团队在这项漏洞披露上拖了 11 个月。那边到底发生了什么？

安全建议

Nick Frichette 强调，保护所有端点（包括被视为低风险或用于测试和开发的端点）对于防止安全漏洞至关重要：

虽然这个具体例子已不再易受攻击，但值得注意的是，有数千个非生产端点，其中任何一个都可能表现出类似的行为。除了绕过 CloudTrail 外，非生产端点在防御规避方面还有一个潜在用例：事件源混淆。

AWS 的回应

AWS 承认了这一漏洞：

对于那些未记录到 CloudTrail 但可使用正常凭证调用并表现出正常 IAM 权限行为的孤立非生产端点，AWS 认为此类端点的 CloudTrail 日志绕过也是一个安全问题。

同时，AWS 强调并非每个端点都需要修复：

访问生产资源但生成的 CloudTrail 事件与标准端点生成的事件不匹配的非生产端点，除非涉及的服务和操作不明确，否则不会被修复。

其他披露

Datadog 还发布了一段视频，记录了这些漏洞的发现过程。此外，Datadog 今年还披露了 AWS Amplify 中的另一个漏洞，该漏洞暴露了与项目关联的 IAM 角色。