Celah keamanan yang parah di Galeri Publik Amazon ECR (Elastic Container Registry) dapat memungkinkan penyerang menghapus citra kontainer apa pun atau menyuntikkan kode berbahaya ke dalam citra akun AWS lainnya.
Amazon Galeri Publik ECR adalah repositori publik gambar kontainer yang digunakan untuk berbagi aplikasi siap pakai dan distribusi Linux populer, seperti Nginx, EKS Distro, Amazon Linux, agen CloudWatch, dan agen Datadog.
Analis keamanan Lightspin menemukan kelemahan baru di ECR Public Gallery yang memungkinkan untuk mengubah gambar, lapisan, tag, pendaftar, dan penyimpanan publik yang ada dari pengguna lain dengan menyalahgunakan tindakan API yang tidak berdokumen.
Peneliti melaporkan kerentanan terhadap AWS Security pada 15 November 2022, dan Amazon meluncurkan perbaikan dalam waktu kurang dari 24 jam.
Meskipun tidak ada tanda-tanda kelemahan ini disalahgunakan di alam liar, pelaku ancaman dapat menggunakannya dalam serangan rantai pasokan skala besar terhadap banyak pengguna.
Biasanya, enam gambar kontainer yang paling banyak diunduh di ECR Public Gallery memiliki lebih dari 13 miliar unduhan, jadi setiap injeksi berbahaya di dalamnya dapat menyebabkan infeksi “di luar kendali”.
Lightspin mengatakan analisisnya menunjukkan bahwa 26% dari semua kluster Kubernetes memiliki setidaknya satu pod yang mengambil gambar dari ECR Public Gallery, sehingga dampaknya bisa signifikan.
Memanfaatkan tindakan API yang tidak berdokumen
Peneliti Lightspin menemukan bahwa Galeri Publik ECR memiliki beberapa tindakan API internal yang digunakan untuk mendukung perintah tertentu dan tindakan pengguna tetapi tidak diekspos secara publik.
Empat dari tindakan API ini, tercantum di bawah, tidak memiliki pemicu apa pun, namun masih aktif di platform dan karenanya dapat dipanggil.
- DeleteImageForConvergentReplicationInternal
- HapusTagForConvergentReplicationInternal
- PutImageForConvergentReplicationInternal
- PutLayerForConvergentReplicationInternal
Setelah menemukan cara mengautentikasi terhadap API internal ECR menggunakan kredensial sementara dari Amazon Cognito, analis memalsukan permintaan API berbahaya yang akan diterima.
Tentu saja, agar hal di atas berfungsi, permintaan harus memiliki struktur JSON yang valid, dan karena tidak ada dokumentasi untuk panggilan API ini, menyimpulkannya memerlukan beberapa percobaan.
Dalam bukti contoh konsep yang diberikan dalam laporan Lightspin, permintaan menggunakan panggilan API “DeleteImage” dan repositori yang tersedia untuk umum serta ID gambar untuk menghapus gambar yang tersedia untuk umum yang diunggah oleh peneliti.
Peneliti memasukkan langkah-langkah eksploit ke dalam skrip Python, sehingga prosesnya dapat diotomatiskan untuk menyalahgunakan panggilan API yang tidak berdokumen untuk menyerang gambar publik.
Tanggapan Amazon
Amazon memberi tahu BleepingComputer bahwa mereka segera memperbaiki masalah yang ditemukan oleh Lightspin, dan penyelidikan internal tidak mengungkapkan tanda-tanda eksploitasi oleh aktor jahat.
Berdasarkan log dan bukti yang diperiksa, raksasa internet itu yakin bahwa tidak ada akun pelanggan, unggahan, atau aset lain yang disusupi.
Pernyataan lengkap Amazon di bawah ini:
Pada tanggal 14 November 2022, seorang peneliti keamanan melaporkan masalah di Galeri Publik Amazon Elastic Container Registry (ECR), situs web publik untuk menemukan dan membagikan gambar container publik. Peneliti mengidentifikasi tindakan API ECR yang, jika dipanggil, dapat mengaktifkan modifikasi atau penghapusan gambar yang tersedia di Galeri Publik ECR.
Mulai 15 November 2022, masalah yang teridentifikasi telah diperbaiki. Kami telah melakukan analisis menyeluruh terhadap semua log. Kami yakin ulasan kami konklusif, dan satu-satunya aktivitas yang terkait dengan masalah ini adalah antar akun yang dimiliki oleh peneliti. Tidak ada akun pelanggan lain yang terpengaruh, dan tidak diperlukan tindakan pelanggan. Kami ingin berterima kasih kepada Lightspin karena telah melaporkan masalah ini.
