Ecosistemi AWS a rischio: agente SSM consente diffusione di malware RAT

Alcuni ricercatori di Mitiga hanno individuato una nuova tecnica per introdurre attacchi RAT nel contesto di Amazon Web Services (AWS) sfruttando l’agente System Manager (SSM).

Secondo gli esperti, questo tipo di attacco è efficace tanto su macchine Windows quanto su Linux e risulta alquanto efficace, visto che è difficile che l’offensiva venga rilevata dal software di sicurezza. Come afferma il report di Mitiga, questo tipo di vulnerabilità possa essere già stata sfruttata in passato da alcuni cybercriminali.

AWS Systems Manager (SSM) è un sistema di gestione degli endpoint proposto Amazon e utilizzato dagli amministratori per la configurazione, l’applicazione di patch e il monitoraggio degli ecosistemi AWS che comprendono istanze EC2, server locali o macchine virtuali.

È uno strumento molto popolare utilizzato comunemente per avviare nuove istanze AWS. In un contesto di questo tipo, gli aggressori dispongono di un ampio pool di host in cui è possibile abusare della vulnerabilità scoperta da Mitiga.

Una falle negli ecosistemi AWS che potrebbe essere già stata utilizzata

La scoperta di Mitiga è che l’agente SSM può essere configurato per essere eseguito in modalità “ibrida” anche all’interno di un’istanza EC2, consentendo l’accesso ad asset e server da account AWS che risultano poi molto facili da controllare.

Quando si configura SSM in modalità ibrida, si consente a un account AWS di gestire macchine non EC2, inclusi server locali, dispositivi AWS IoT e macchine virtuali, incluse quelle in altri ambienti cloud.

Secondo il report di Mitiga “Nella nostra ricerca, ci siamo concentrati sulla capacità di un agente SSM di essere eseguito non solo su istanze Amazon Elastic Compute Cloud (EC2), ma anche su tipi di macchine non EC2” aggiungendo poi “Abbiamo trovato un modo unico per abusare del servizio SSM, consentendogli di funzionare perfettamente come un’infrastruttura trojan completamente integrata, facendo in modo che l’agente nell’endpoint comunichi con un account AWS diverso (che può essere utilizzato dall’attaccante) rispetto all’account AWS originale“.