VULNERABILIDAD QUE AFECTA AL SERVICIO AWS APPSYNC

22/11/2022

BOLETÍN NRO 2022-692

Recientemente se ha detectado una vulnerabilidad que esta afectando el servicio AppSync de AWS que es aprovechado por los atacantes para asumir funciones de administración de acceso e identidad (IAM).

Servicios Afectados

• AWS AppSync

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

AppSync es un popular servicio de AWS que permite a los desarrolladores crear rápidamente API de GraphQL y Pub/Sub. Al crear una API de GraphQL en AWS AppSync, un desarrollador deberá crear una fuente de datos. Una fuente de datos es algo que almacena o tiene acceso a los datos con los que interactúa la API de GraphQL. Los ejemplos incluyen funciones de Lambda, DynamoDB, RDS y API externas. AppSync entre sus funciones permite invocar un API directamente de AWS, como por ejemplo si un desarrollador quisiera crear una API GrphQL para interactuar con Amazon S3 utiliza este servicio para crear la interacción.

De acuerdo con el ejemplo anterior, si un desarrollador estuviera construyendo esa API crearía un rol con los permisos de S3 que necesita y permitiría a AppSync asumir ese rol. Cuando se llame a esa API GraphQL, AppSync asumirá el rol, realizará la llamada a la API de AWS e interpretará los resultados.

A partir de aquí los investigadores se preguntaron si podrían engañar de alguna manera al servicio de AppSync para que asuma un rol en una cuenta que no se controla y acceda a sus recursos.

AWS utiliza como protección una (ARN) que es el nombre de recurso de Amazon, durante la creación de una fuente de datos, la API mirará si el ARN proporcionado concuerda con la misma cuenta de AWS, si no pues arrojará un error; para vulnerar esta función los investigadores realizaron una prueba donde la API aceptaba payloads JSON que a su vez las letras de algunas propiedades era cambiadas por mayúsculas y minúsculas, en este caso se cambio las propiedades de `serviceRoleArn` por servicerolearn, esto evitó la del ARN lo que permitió crear fuentes de AppSync vinculadas a roles en otras cuentas de AWS. Esto permitiría a un atacante interactuar con cualquier recurso asociado a un rol que confíe en el servicio AWS AppSync en cualquier cuenta.

Esta vulnerabilidad se reportó a Amazon quien inmediatamente lo solucionó.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Para usuarios finales:

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Amazon addresses vulnerability affecting AWS AppSync
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​