Bucket Hijacking - nova tehnike preusmeravanja podataka u oblačnim okruženjima
Novi napada omogućava preusmavanje oblačnih podataka u spremnike pod kontrolom napadača na svim glavnim cloud platformama.
Šta se desilo?
Bezbednosni istraživači su otkrili novu tehniku napada nazvanu "bucket hijacking" koja omogućava napadačima da preusmere aktivne tokove podataka organizacije - uključujući logove revizije i telemetriju - u skladišne spremnike pod njihovom kontrolom. Napada koristi arhitekturnu manjkavost zajedničku za sve velike pružaoce oblačnih usluga jer je identitet spremenika vezan isključivo za njegove ime, a ne za vlasnika naloga.
Koga pogađa?
Ugrožene su sve organizacije koje koriste oblačne servise za skladištenje podataka i logovanje - posebno one sa široko dodeljenim administratorskim dozvolama. Primat su kompanija koje čuvaju regulisane ili osetljive podatke u oblačnim okruženjima, kao i institucije sa manje rigroznih kontrola pristupa.
Kako se zaštititi?
- Primeni princip najmanje privilegije - ograniči dozvole za brisanje spremenika (storage.buckets.delete, DeleteBucket, Microsoft.Storage/storageAccounts/delete) na minimalno potrebne uloge
- Aktviraj monitoring i alerte za sve API pozive vezane za brisanje spremenika, naročito onih sa osetljivim podacima
- Koristi data perimeter kontrole - AWS Service Control Policies (SCPs) ili Google Cloud VPC Service Controls - kako bi blokirao upise u spremnike izvan poverljive organizacijske granice
- Na AWS-u aktiviraj account-regionalne S3 namespace da ograniči imena spremenika na specifičan nalog i regiju
- Redovno pregleda i ograniči administratorske uloge koje imaju preširoke dozvole za upravljanje skladištem
Tehnički detalji
Napada je potvrđen na svim trima glavnim cloud platformama: Google Cloud (Cloud Logging sinks, Pub/Sub subscriptions, Storage Transfer Service), AWS (S3 bucket replication i Amazon Data Firehose) i Microsoft Azure (Azure Monitor diagnostic settings). Napad zahteva dozvole za brisanje spremenika i ima mogućnost automatskog preuusmeravanja podataka bez generisanja upozorenja. Arhitektura napada je samodrživa - nakon uspešne preuzimanja, legitimne konfiguracije izgledaju validno i bez greške, što čini detekciju izuzetno teškom.
Preporuka Sajber Radara
Organizacije koje koriste oblačne servise trebaju hitno da preispitaju i ograniče administratorske dozvole, posebno one za brisanje spremenika. Implementacija strogih kontrola pristupa i proaktivnog monitoringa je kritična zaštita jer je detekcija napada nakon eksploatacije praktički nemoguća.