S3_public

Hay dos riesgos principales al considerar configuraciones incorrectas en los depósitos de AWS, permisos de acceso de lectura y escritura.

1. Un bucket S3 mal configurado que permite el acceso público de lectura puede provocar una filtración de datos del cliente.

2. Un bucket S3 mal configurado que permite el acceso de escritura pública se puede usar para servir o controlar malware, dañar un sitio web alojado en un servicio de almacenamiento en la nube, almacenar cualquier cantidad de datos a su cargo e incluso cifrar sus archivos con el fin de exigir un rescate.

Lectura

Al encontrar un bucket publico en un pentesting / red team / auditoria siempre preguntár si es necesario que esté configurado así y revisar la información que contiene el bucket en busca de información sensible.

Listado de contenidos en bucket público

lectura de archivos de bucket público

También se puede listar con el comando:

aws s3 ls s3://somePublicBucket --no-sign-request

Si durante la auditoria encontramos un Bucket con acceso público y este contiene información sensible; podríamos afirmar que existe una vulnerabilidad alta. Un bucket s3 mal configurado que permite el acceso público de lectura puede provocar una filtración de datos del cliente

Escritura

De igual forma existe la posibilidad de que se puedan subir archivos sin necesidad de autenticación, lo cual habilita la posibilidad de un adversario de gastar recursos o subir malware.

aws s3 cp ./malware.exe s3://somePublicBucket --no-sign-request

En ciertas ocasiones, los Buckets son utilizados para almacenar sitios web estáticos y si se tiene acceso de escritura, se podría hacer una inclusión de código malicioso (XSS, SSRR, entre otros) por medio de Javascript

Políticas vulnerables

La política vulnerable:

policy_vulnerable.json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ToADD_newARN_BucketPublico*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ToADD_newARN_Bucket"
        }
    ]
}

En caso de ser necesario subir archivos de manera pública (Como la acción de subir imágenes en una página web que se alojen en un bucket público) por buenas prácticas, se recomienda restringir siempre los tipos de archivos subidos por medio de una política sobre los Buckets utilizando listas blancas.