Am 24. Oktober 2024 veröffentlichte Ofek Itach und Yakir Kadkoda einen umfassenden Bericht, in dem eine neu entdeckte Schwachstelle im AWS Cloud Development Kit (CDK) beschrieben wird. Diese Sicherheitslücke betrifft die Art und Weise, wie das CDK während des sogenannten Bootstrapping-Prozesses S3-Buckets zur Speicherung von Deployment-Assets erstellt. Insbesondere wurde festgestellt, dass das manuelle Löschen dieser Buckets durch Benutzer ein Einfallstor für Angreifer darstellen kann.
Die Hauptschwachstelle, die im Juni 2024 entdeckt wurde, betrifft die vorhersehbare Struktur der S3-Bucket-Namen, die von AWS CDK während des Bootstrapping-Prozesses erstellt werden. In Fällen, in denen CDK-Nutzer diese Buckets nach der Erstkonfiguration löschen, eröffnet dies Angreifern die Möglichkeit, Buckets mit denselben Namen zu erstellen. Dies könnte dazu führen, dass das CDK während des Deployments auf diese Angreifer-kontrollierten Buckets zugreift, was zu einem potenziellen Kontenübergriff (Account Takeover) führen kann.
Die Struktur der betroffenen S3-Bucket-Namen folgt einem standardisierten Muster: cdk-{Qualifier}-assets-{Account-ID}-{Region}. Dabei wird der Qualifier standardmäßig auf den Wert hnb659fds gesetzt, es sei denn, der Nutzer konfiguriert diesen manuell. Diese vorhersehbare Namenskonvention ermöglicht es einem Angreifer, S3-Buckets mit diesen vorhersehbaren Namen zu erstellen, wenn der ursprüngliche Bucket durch den Nutzer gelöscht wurde.
Besonders problematisch ist, dass viele CDK-Nutzer die voreingestellte Namenskonvention verwenden und keine individuellen Qualifier festlegen. Dies macht die Bucket-Namen relativ leicht vorhersehbar, wenn der Angreifer Zugriff auf die AWS-Account-ID und die Region hat, in der CDK genutzt wurde.
Angriffsvektor: „Bucket Sniping“
Ein Angreifer kann sich diese vorhersehbare Bucket-Namensstruktur zunutze machen, indem er einen S3-Bucket mit einem identischen Namen wie der des Opfers in seinem eigenen Konto erstellt. Sollte das Opfer später versuchen, eine neue CDK-Bereitstellung durchzuführen, nachdem der ursprüngliche S3-Bucket gelöscht wurde, könnte das CDK unwissentlich Daten in den vom Angreifer kontrollierten Bucket hochladen.
In einem schwerwiegenden Szenario, in dem sowohl Lese- als auch Schreibzugriff auf den Bucket erfolgt, kann der Angreifer manipulierte CloudFormation-Vorlagen injizieren. Da der Deployment-Prozess in AWS CDK administrative Rechte über die CloudFormationExecutionRole besitzt, könnte der Angreifer administrative Berechtigungen im Zielkonto erhalten und somit eine vollständige Kontoübernahme durchführen.
Laut der Analyse von Itach und Kadkoda betraf die Sicherheitslücke etwa 1 % der CDK-Nutzer. Ihre Untersuchung umfasste über 38.000 bekannte AWS-Account-IDs, von denen 2 % CDK installiert hatten. Rund 10 % dieser Accounts waren direkt von der Schwachstelle betroffen, da ihre ursprünglichen CDK-Buckets gelöscht worden waren und daher durch Angreifer übernommen werden konnten.
Nach der Meldung der Sicherheitslücke an AWS reagierte das Unternehmen schnell und veröffentlichte einen Fix in CDK-Version v2.149.0. Diese Version stellt sicher, dass die FilePublishingRole des CDK nur noch auf S3-Buckets im selben AWS-Konto zugreifen kann. Außerdem empfahl AWS allen Nutzern, die einen Qualifier verwenden, der nicht der Standardwert ist, um das Risiko einer Bucket-Übernahme zu minimieren.
AWS benachrichtigte die betroffenen Kunden und fügte Warnmeldungen in das AWS CLI-Terminal ein, um auf die Notwendigkeit eines Bootstrap-Upgrades hinzuweisen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: