De verlaten AWS S3-buckets kunnen worden misbruikt voor supply-chain aanvallen.
In een rapport zeggen onderzoekers van de Britse beveiligingsstart-up watchTowr Labs dat ongeveer 150 voormalige S3-buckets, ooit gebruikt door overheden en grote bedrijven, onopgemerkt toegankelijk bleven. Ondertussen probeerden applicaties en websites nog steeds software-updates en bestanden van deze locaties te halen.
Hergebruik buckets binnenkort verboden?
De onderzoekers registreerden deze verlaten buckets opnieuw voor slechts 420 dollar en zagen in twee maanden tijd ruim acht miljoen verzoeken binnenkomen van onder andere overheidsnetwerken (zoals NASA), militaire netwerken en Fortune 500-bedrijven. Deze verzoeken betroffen cruciale bestanden zoals Windows- en Linux-uitvoeringen, JavaScript-code en VPN-configuraties.
Volgens WatchTowr is het “beangstigend simpel” om zo’n aanval uit te voeren. Een aanvaller hoeft enkel een verlaten bucket opnieuw te registreren en er eigen malware in te plaatsen. Verificatie van updates is mogelijk, maar die blijkt vaak niet goed geïmplementeerd te zijn.
Amazon zegt aan The Register dat hun diensten correct functioneren en benadrukt het gebruik van unieke id’s om dit soort risico’s te beperken. WatchTowr blijft echter pleiten voor een algeheel verbod op hergebruik van oude bucketnamen om deze kwetsbaarheid definitief op te lossen.