كشف باحثو الأمن السيبراني عن أدوار IAM افتراضية خطيرة في Amazon Web Services (AWS) تمنح صلاحيات واسعة قد تسمح للمهاجمين بـ:
-
تصعيد الامتيازات داخل الحسابات السحابية
-
التلاعب بالخدمات المتعددة عبر AWS
-
اختراق الحسابات بالكامل في بعض السيناريوهات
ما هي المشكلة بالضبط؟
وفقًا لتحليل شركة أكوا سيكيوريتي:
-
العديد من أدوار IAM الافتراضية (خاصة بخدمات مثل SageMaker، Glue، EMR، Lightsail) تُنشئ تلقائيًا بصلاحيات مفرطة مثل AmazonS3FullAccess
-
حتى إطار العمل المفتوح المصدر Ray ينشئ دورًا افتراضيًا (ray-autoscaler-v1) بنفس السياسة الخطيرة
-
هذه الأدوار تفتح مسارات هجوم خفية تسمح بـ:
-
اختراق العزلة بين الخدمات (Cross-Service Exploitation)
-
الانتقال الأفقي بين الخدمات (Lateral Movement)
-
تصعيد الامتيازات حتى الوصول الكامل للحساب
-
كيف يمكن استغلال هذه الثغرة؟
في هجوم افتراضي:
-
يستغل المهاجم صلاحيات AmazonS3FullAccess للبحث عن دلو S3 يستخدمه خدمات أخرى
-
يعدل أصولًا مثل:
-
قوالب CloudFormation
-
نصوص EMR
-
موارد SageMaker
-
-
يحقن أكواد خبيثة تسمح له بـ:
-
سرقة بيانات الاعتماد IAM لخدمة Glue
-
تصعيد الامتيازات داخل الحساب
-
اختراق البيئة السحابية بالكامل
-
أبرز الخدمات المتأثرة:
| الخدمة | الدور الافتراضي | السياسة الخطيرة |
|---|---|---|
| SageMaker | AmazonSageMaker-ExecutionRole | AmazonS3FullAccess |
| AWS Glue | AWSGlueServiceRole | AmazonS3FullAccess |
| Amazon EMR | AmazonEMRStudio_RuntimeRole | AmazonS3FullAccess |
إجراءات التصحيح والتوصيات الأمنية
-
قامت AWS بتعديل سياسة AmazonS3FullAccess للأدوار الافتراضية
-
ينصح الباحثون بـ:
-
تقييد نطاق الأدوار الافتراضية بدقة لتناسب احتياجاتها المحددة فقط
-
مراجعة جميع أدوار IAM يدويًا بدلًا من الاعتماد على الإعدادات الافتراضية
-
تطبيق مبدأ أقل امتياز (Principle of Least Privilege)
-
ثغرة ذات صلة في Microsoft Azure
كشفت فارونيس عن ثغرة في أداة AZNFS-mount (المثبتة مسبقًا على أنظمة Azure AI و HPC) تسمح لمستخدم عادي بـ:
-
تصعيد الصلاحيات إلى root
-
تركيب وحدات تخزين إضافية
-
نشر برمجيات خبيثة أو برامج فدية
يُذكر أن هذه الاكتشافات تأتي في إطار تزايد مخاطر التكوينات الخاطئة في البيئات السحابية التي تفتح الباب أمام هجمات متسلسلة.
