ทีมวิจัยจาก Orca Security พบช่องโหว่ร้ายแรงใน AWS Glue service ทำให้ผู้โจมตีสามารถสร้าง resource และเข้าถึง AWS Glue ของผู้ใช้รายอื่นได้ โดยขั้นตอนการโจมตีค่อนข้างชับซ้อน แต่ว่ามีความเป็นไปได้ เนื่องจาก internal misconfiguration บางอย่างในตัว AWS Glue
AWS Glue คือ serverless data integration service (Extract, transform, load) ซึ่งช่วยทำให้การ discover, prepare, และ combine ข้อมูลสำหรับการทำ analytics หรือ machine learning

โดยนักวิจัยพบว่า feature หนึ่งตัวใน AWS Glue มีช่องโหว่ที่สามารถดึง role credentials ภายในของ AWS Glue service account ชึ่งมีสิทธ์ full access ไปที่ internal service API ได้ และ misconfiguration บางอย่างใน Glue internal service API ก็ทำให้นักวิจัยสามารถยกระดับสิทธิ์เป็น full administrative ได้
นักวิจัยสามารถเข้าถึง AWS Glue ของผู้ใช้งานรายอื่นโดยการ Assume Role ไปที่ AWSGlueServiceRoleDefault ที่จะมีอยู่ในทุก account ที่มีการใช้งาน AWS Glue service และยังสามารถ Query และแก้ไข AWS Glue resources ได้อีกด้วย

Account ที่ใช้ทดสอบช่องโหว่ทั้งหมดเป็นของ Orca security เองโดย Orca security ยื่นยันว่าไม่ได้มีการเข้าถึงข้อมูลของลูกค้าที่ใช้งาน AWS Glue
AWS team response

ทาง AWS ได้ทำการรีวิวช่องโหว่ และทำการแก้ไขเรียบร้อยแล้วโดยที่ผู้ใช้งานไม่ต้องดำเนินการใดๆด้วยตนเอง และ AWS ยังทำการวิเคราะห์ log ของ AWS Glue service เพือยืนยันว่าไม่มีผู้ใช้งานรายใดได้รับผลกระทบจากช่องโหว่นี้

ที่มา:
orca.