AWS - Macie Privesc

Reading time: 3 minutes

Macie

Macie에 대한 자세한 정보는 다음을 확인하세요:

AWS - Macie Enum

Amazon Macie - Bypass Reveal Sample Integrity Check

AWS Macie는 자격 증명, 개인 식별 정보(PII) 및 기타 기밀 데이터를 포함한 AWS 환경 내의 민감한 데이터를 자동으로 탐지하는 보안 서비스입니다. Macie가 S3 버킷에 저장된 AWS secret key와 같은 민감한 자격 증명을 식별하면, 소유자가 감지된 데이터의 "sample"을 볼 수 있도록 finding을 생성합니다. 일반적으로 민감한 파일이 S3 버킷에서 제거되면 해당 secret은 더 이상 검색할 수 없게 됩니다.

그러나 충분한 권한을 가진 공격자가 동일한 이름의 파일을 다른, 비민감한 더미 데이터로 re-upload할 수 있는 bypass가 확인되었습니다. 이로 인해 Macie는 새로 업로드된 파일을 원래 finding과 연관시켜, 공격자가 "Reveal Sample" 기능을 사용해 이전에 감지된 secret을 추출할 수 있게 됩니다. 이 문제는 삭제된 것으로 간주된 비밀이 이 방법으로 여전히 검색 가능하다는 점에서 심각한 보안 위험을 초래합니다.

Steps To Reproduce:

1. S3 버킷에 AWS secret key와 같은 민감한 데이터가 포함된 파일(예: test-secret.txt)을 업로드합니다. AWS Macie가 스캔하여 finding을 생성할 때까지 기다립니다.

2. AWS Macie Findings로 이동하여 생성된 finding을 찾고 Reveal Sample 기능을 사용하여 감지된 secret을 확인합니다.

3. S3 버킷에서 test-secret.txt를 삭제하고 더 이상 존재하지 않는지 확인합니다.

4. 동일한 이름(test-secret.txt)의 새 파일을 더미 데이터로 생성하여 attacker's account를 사용해 동일한 S3 버킷에 재업로드합니다.

5. AWS Macie Findings로 돌아가 원래 finding에 접근한 후 다시 Reveal Sample을 클릭합니다.

6. 파일이 삭제되고 다른 내용으로 교체되었음에도 불구하고, 특히 다른 계정(이 경우 attacker's account)에서 업로드되었음에도 Macie가 여전히 원래의 secret을 노출하는 것을 관찰합니다.

Summary:

이 취약점은 충분한 AWS IAM permissions을 가진 공격자가 원본 파일이 S3에서 삭제된 후에도 이전에 감지된 secret을 복구할 수 있게 합니다. AWS secret key, access token 또는 기타 민감한 자격 증명이 노출된 경우, 공격자는 이 결함을 이용해 이를 검색하고 AWS 리소스에 무단으로 접근할 수 있습니다. 이는 privilege escalation, 무단 데이터 접근 또는 클라우드 자산의 추가 침해로 이어져 데이터 유출 및 서비스 중단을 초래할 수 있습니다.