Xakep #305. Многошаговые SQL-инъекции
Череда утечек данных, напрямую связанных с неправильно настроенными бакетами Amazon S3, тянется уже давно. К примеру, минувшим летом специалисты нашли на Amazon S3 данные 198 млн американских избирателей, информацию о 14 млн клиентахкомпании Verizon и даже документацию правительственного подрядчика.
Также в начале текущей недели специалисты компании Skyhigh Networks предупредили о еще одной проблеме, которая тесно связана с неправильной настройкой бакетов. Исследователи просканировали облака AWS и изучили порядка 1600 бакетов, связанных с различными корпоративными сетями. Как выяснилось, около 4% из них не просто настроены неверно, но и уязвимы перед атаками, которым специалисты дали имя GhostWriter.
GhostWriter предполагает, что бакет AWS S3 не только сконфигурирован неправильно и раскрывает данные всем желающим, но помимо этого администраторы также забыли закрыть доступ на запись, то есть третья сторона может незаметно подменить любые оригинальные данные чем угодно.
К сожалению, невзирая на все предупреждения специалистов, администраторы продолжают допускать одни и те же ошибки. К примеру, по данным Skyhigh Networks, около 7% всех бакетов доступны любому желающему. Глядя на такое положение вещей, инженеры Amazon решили попытаться повлиять на эту проблему. Теперь предупреждения о неправильной конфигурации бакетов, из-за которой информация может быть доступна публично, неавторизованным сторонам, будут отображаться непосредственно в панели управления, на бэкэнде AWS. Как будут выглядеть такие предупреждения, можно увидеть на иллюстрациях ниже.
Помимо сообщений с предупреждениями, представители Amazon анонсировали еще четыре новые функции, в том числе поддержку полного шифрования всех данных в S3 по умолчанию.