La société de réponse aux incidents cloud Mitiga affirme avoir découvert un tout nouveau vecteur d’attaque qui pourrait exposer les utilisateurs d’Amazon Web Services (AWS) à des cyberattaques.
Dans un rapport (s’ouvre dans un nouvel onglet)la société a déclaré qu’un nouveau Amazon Virtual Private Cloud (s’ouvre dans un nouvel onglet) (VPC) appelée « Elastic IP transfer » (EIP) pourrait être utilisée de manière abusive par les pirates pour compromettre les adresses IP et, par conséquent, atteindre les terminaux de la cible.
Le transfert IP élastique est une fonctionnalité qui permet aux utilisateurs de transférer des adresses IP élastiques d’un compte AWS à un autre, une fonctionnalité qui simplifie et facilite le déplacement des adresses IP élastiques lors de la restructuration du compte AWS. Mais comme c’est souvent le cas avec les nouvelles offres, celle-ci est venue avec un défaut abusif.
Menaces sous le radar
« Il s’agit d’un nouveau vecteur d’attaque post-compromis initial, qui n’était pas possible auparavant (et n’apparaît pas encore dans le cadre MITRE ATT&CK), dont les organisations peuvent ne pas être conscientes de sa possibilité », a déclaré Mitiga dans son annonce.
En outre, la société a déclaré que la faille « peut étendre le rayon d’action d’une attaque et permettre un accès supplémentaire aux systèmes reposant sur la liste d’autorisation IP comme principale forme d’authentification ou de validation ».
La société affirme que le vecteur d’attaque est tout nouveau et unique car Elastic IP n’a « jamais été considéré comme une ressource que vous devriez protéger contre l’exfiltration », affirmant que le détournement d’un EIP n’est même pas indiqué dans la base de connaissances MITRE ATT&CK comme une technique du tout. Cela signifie que les victimes pourraient ne pas être du tout au courant de l’attaque en cours.
Dans un exemple de ce à quoi la faille pourrait être utilisée, Mitiga a expliqué comment un acteur malveillant pourrait attacher l’adresse IP volée à une instance EC2 dans un compte AWS en sa possession et l’utiliser pour atteindre ses points de terminaison. Même un pare-feu ne serait pas d’une grande aide car il aurait une règle autorisant les connexions à partir de l’adresse IP volée. Par conséquent, ils pourraient l’utiliser pour lancer des attaques de phishing, a déclaré la société.
Pour rester en sécurité, il est conseillé aux utilisateurs d’AWS de considérer leurs ressources EIP comme n’importe quelle ressource AWS risquant d’être exfiltrée : « Utilisez le principe du moindre privilège sur vos comptes AWS et désactivez même la possibilité de transférer entièrement l’EIP si vous n’en avez pas besoin. ça », conclut le blog.