Les buckets AWS S3 abandonnés peuvent être utilisés à des fins d’ attaques dela chaîne d’approvisionnement.
Dans un rapport, des chercheurs de la start-up britannique watchTowr Labs, spécialisée dans la sécurité, indiquent qu’environ 150 anciens buckets S3, autrefois utilisés par les gouvernements et les grandes entreprises, sont restés accessibles sans être détectés. Pendant ce temps, des applications et des sites web tentaient toujours d’obtenir des mises à jour logicielles et des fichiers à partir de ces emplacements.
Les seaux réutilisables bientôt interdits ?
Les chercheurs ont réenregistré ces buckets abandonnés pour seulement 420 dollars et ont enregistré plus de huit millions de requêtes en deux mois, provenant notamment de réseaux gouvernementaux (tels que la NASA), de réseaux militaires et d’entreprises classées au Fortune 500. Ces demandes concernaient des fichiers critiques tels que des exécutions Windows et Linux, du code JavaScript et des configurations VPN.
Selon WatchTowr, il est « effroyablement simple » de mener une telle attaque. Il suffit à un attaquant de réenregistrer un seau abandonné et d’y insérer son propre logiciel malveillant. La vérification des mises à jour est possible, mais elle semble souvent mal mise en œuvre.
Amazon indique à The Register que ses services fonctionnent correctement et insiste sur l’utilisation d’identifiants uniques pour atténuer ce type de risque. Cependant, WatchTowr continue d’appeler à une interdiction générale de la réutilisation des anciens noms de seaux afin de corriger cette vulnérabilité une fois pour toutes.