各组织警告亚马逊网络服务存在新的攻击向量

来自Mitiga的研究人员发现，亚马逊网络服务(AWS)最近引入的一项功能面临新的安全威胁。

攻击向量与AWS在2022年10月宣布的亚马逊虚拟私有云功能弹性IP传输有关。此功能可以更轻松地将弹性IP地址从一个AWS帐户转移到另一个帐户。

然而，研究人员透露，威胁行为者有可能利用弹性IP传输并泄露IP地址。在这一点上，他们可以发起广泛的攻击，这取决于其他人对被劫持的IP有什么样的信任和依赖。

其中包括与受害者使用的其他外部防火墙后面的网络端点通信，前提是在已传输的特定弹性IP地址上存在允许规则。另一种可能的策略是使用弹性IP地址进行恶意活动，例如恶意软件活动的命令和控制服务器，这可能会在防御工具的雷达之下。

该团队警告说:“就像一个有用的新功能经常发生的那样，拥有正确凭证和权限的恶意行为者可能会滥用该功能造成损害。”

该博客还指出，这是一种新的初始妥协后攻击载体，这在以前是不可能的(并且还没有出现在MITRE ATT&CK框架中)。因此，组织可能没有意识到这一点。

在详细介绍弹性IP传输如何被利用时，研究人员强调，威胁行为者将需要身份和访问管理(IAM)权限，允许他们查看现有的弹性IP地址及其状态。他们还需要允许启用弹性IP地址传输。

该帖子写道：“总而言之，对手可能需要至少两个或三个API权限才能将该功能用于不良目的。”

Mitiga表示：“他们已经将调查结果通知了AWS安全团队，并将我们得到的反馈纳入了这篇博文的一部分。”

然后，研究人员制定了使用弹性IP传输的组织可以使用的一系列行动来减轻这种威胁。这些包括通过使用AWS的服务控制策略应用最小特权原则，通过使用EnableAddressTransfer API实现自动检测和响应，以及使用AWS自带IP (BYOIP)功能和反向DNS保护。

研究人员总结道:“EIP传输功能非常有用，但它创建了一个新的攻击维度，这在AWS上是前所未有的。窃取静态公共IP地址会极大地影响组织，不仅会危及公司资产，还会危及公司客户。”

在2022年11月，人们发现每月都有数百个亚马逊关系数据库服务(RDS)实例被暴露，个人身份信息大量泄露。