Az AWS Cloud Development Kit (CDK) Sebezhetősége: Mit Kell Tudnod?

Nemrégiben az Aqua Security szakértői súlyos sebezhetőséget fedeztek fel az AWS Cloud Development Kit (CDK) használatában. Ez a biztonsági rés – amely az S3 bucketek kiszámítható elnevezéséből adódik – akár egy teljes AWS-fiók átvételéhez is vezethet, ha nem kezelik megfelelően. Az AWS ugyan javította a problémát, de azoknak a felhasználóknak, akik a CDK v2.148.1 vagy korábbi verzióit használták, további lépéseket kell tenniük. Nézzük meg részletesen, miről van szó, és hogyan védhetjük meg rendszereinket!

Mi az AWS Cloud Development Kit (CDK)?

Az AWS CDK egy Infrastructure-as-Code (IaC) eszköz, amely lehetővé teszi a fejlesztők számára, hogy a felhő infrastruktúrát kód formájában, például Pythonban, TypeScriptben vagy JavaScriptben definiálják. Bár a CDK rendkívül hatékony, a nem megfelelő beállítások és eljárások komoly biztonsági problémákhoz vezethetnek.

Hogyan működik a sebezhetőség?

Az Aqua biztonsági kutatói (Ofek Itach és Yakir Kadkoda) szerint a probléma gyökere az, hogy a CDK egy kiszámítható elnevezésű S3 bucketet használ a staging adatok, például IAM-szerepek és CloudFormation sablonok tárolására. Az alapértelmezett elnevezési minta a következő:

cdk-{Qualifier}-{Description}-{Account-ID}-{Region}

A bucket nevének egyik kulcseleme a „Qualifier”, amelynek alapértelmezett értéke: hnb659fds. Ha a felhasználó nem változtat ezen, a bucket neve könnyen kiszámíthatóvá válik.

Miért veszélyes ez?

Egy támadó a következő módon használhatja ki ezt a sebezhetőséget:

  1. Bucket előzetes létrehozása
    A támadó létrehozhatja azt az S3 bucketet, amelyet a célzott fiók CDK bootstrapping folyamata használna. Ez szolgáltatásmegtagadási (DoS) hibát eredményezhet, amikor a fiók tulajdonosa megpróbálja a CDK-t használni.

  2. Fiók átvétele
    Ha a támadó által létrehozott bucketet a rendszer olvasásra és írásra is használja, a támadó módosíthatja a CloudFormation sablonokat. Így rosszindulatú kódot (például backdoorokat) fecskendezhet be, amely a telepítési folyamat során kompromittálja a fiókot.

  3. „Elhagyott” bucket eltérítése
    Ha egy felhasználó törli a CDK által létrehozott staging bucketet, például helymegtakarítás céljából, a támadó újra létrehozhatja ugyanazzal a névvel. Ez lehetővé teszi számára, hogy átvegye az irányítást a későbbi CDK műveletek során.

Mekkora a veszély?

Egy elemzés szerint az AWS CDK-felhasználók körülbelül 1%-a sebezhető erre a támadási vektorra. Ez jelentős szám, ha figyelembe vesszük, hogy az AWS globális infrastruktúrát szolgál ki.

Hogyan védekezz?

Az AWS a CDK 2.149.0 verziójában kijavította a hibát, szigorúbb tulajdonosi ellenőrzésekkel és dokumentációs frissítésekkel. Azonban a felhasználóknak továbbra is érdemes az alábbi lépéseket megtenni:

  1. Frissítsd a CDK-t a legújabb verzióra.

  2. Használj egyedi minősítőt (Qualifier).
    A CDK indításakor mindig állíts be egyedi Qualifier értéket.

  3. Újrafuttatás a CDK Bootstrap parancsot.
    Ez biztosítja, hogy a staging bucket az új szabványok szerint jöjjön létre.

  4. IAM-házirendek alkalmazása:
    Adj meg feltételeket a FilePublishingRole CDK szerepkörhöz, például:

    cdk-${Qualifier}-file-publishing-role-${AWS::AccountId}-${AWS::Region}

Záró gondolatok

A biztonságos felhőhasználat megköveteli, hogy tisztában legyünk az általunk használt eszközök gyengeségeivel, és aktívan tegyünk azok kiküszöböléséért. Az AWS CDK sebezhetősége rávilágít arra, hogy még a legnagyobb szolgáltatók eszközeiben is előfordulhatnak hibák. Frissítsd rendszereidet, és kövesd a legjobb gyakorlatokat, hogy elkerüld a lehetséges támadásokat!

Osszd meg ezt a cikket
A szoftverek fejlődésének új korszaka
Az elmúlt évtizedekben a szoftverfejlesztés alapvetően meghatározta digitális világunkat, de a legújabb technológiai áttörések új korszakot nyitnak meg, ahol a számítógépek programozása gyökeresen átalakul. Andrej Karpathy, a Tesla korábbi mesterséges intelligencia igazgatója szerint a szoftverek fejlődése a korábbi évtizedek lassú változása után az utóbbi években drámai gyorsulást mutatott, ami alapjaiban írja újra a programozásról alkotott képünket.
A Google Cloud Run GPU-támogatást biztosít mesterséges intelligencia projektekhez
A Google Cloud hivatalosan is elindította az NVIDIA GPU támogatás általános elérhetőségét a Cloud Run számára, ami jelentős előrelépést jelent a szerver nélküli platformjában. Ez a frissítés célja, hogy a fejlesztőknek költséghatékony, skálázható megoldást nyújtson a GPU-alapú feladatokhoz, különösen az AI-következtetéshez és a kötegelt feldolgozáshoz kapcsolódóakhoz. Ezzel válaszol a felhőben elérhető, GPU-erőforrások iránti növekvő igényre, miközben megőrzi azokat a kulcsfontosságú funkciókat, amelyek a Cloud Run-t népszerűvé tették a fejlesztők körében.
GitHub-integrációval erősít a Gemini Advanced
A mesterséges intelligencia alapú fejlesztői eszközök terén nincs hiány újabb és újabb fejlesztésekben. A Google ezzel kapcsolatban most bejelentette, hogy közvetlen GitHub-integrációval bővíti Gemini Advanced nevű prémium AI-asszisztensét. A lépés nem csupán válasz a rivális OpenAI hasonló fejlesztéseire, hanem egyben komoly előrelépés is a fejlesztői munkafolyamatok hatékonyságának növelésében.
Komoly biztonsági hibák az Apple processzorokban
Az Apple egyedi szilíciumchipjeiben két súlyos sebezhetőséget fedeztek fel, amelyek veszélyeztethetik a felhasználók személyes adatait.
Az Aurora Serverless v2 és a Zéró Kapacitású Skálázás
Az Amazon Aurora Serverless v2 új nullkapacitású skálázási funkciója lehetővé teszi az adatbázisok automatikus szüneteltetését inaktivitás esetén, jelentős költségmegtakarítást nyújtva. Ez a fejlesztés különösen hasznos a ritkán használt vagy fejlesztési környezetekben.
Az Amazon újabb 4 milliárd dollárt fektet az Anthropic-ba
Az Amazon újabb 4 milliárd dollárt fektetett az Anthropicba, hogy megerősítse pozícióját a generatív mesterséges intelligencia piacán. Az együttműködés az MI-alapú felhőszolgáltatások és a vállalat saját chipjeinek népszerűsítését is elősegíti.

Az elmúlt néhány napban megjelent Linux disztribúció frissítések