Znalazł niewinny S3 bucket – nagroda ~45 000 PLN :-)

Żeby zdobyć niezłą nagrodę w ramach bug bounty, wcale nie trzeba jakiegoś super skomplikowanego hackowania ;) Tym razem mamy do czynienia z przejęciem zapomnianego bucketa S3 w AWS. Technika podobna jest do subdomain takeover:

 An AWS S3 bucket previously owned by Mapbox was reclaimed by this researcher, which is possible due to the global namespacing of S3 buckets.

O co tutaj chodzi? Otóż jeśli mamy np. taką domenę, pod którą dostępny jest S3: storage.example.com.s3-website.ap-south-1.amazonaws.com, to być może będziemy chcieli zrobić jakąś bardziej przyjazną nazwę w DNS np.: storage.example.net. W tym celu robimy zwykły alias (CNAME).

Ale co w momencie kiedy bucket nie jest potrzebny? Powinniśmy wszystko wyczyścić, również z aliasem z DNS (storage.example.net). Jeśli tak się nie stanie, to ktoś może zrobić swój bucket S3 i przydzielić mu nazwę storage.example.com.s3-website.ap-south-1.amazonaws.com. Teraz ponownie wszystko działa, ale content już jest serwowany od nas.

Samo to może jeszcze nie jest tragiczne, ale co w przypadku gdy jakiś system jeszcze korzysta z domeny storage.example.net? Wtedy może być problem:

this bucket was still actively referenced in a test script. The bucket takeover therefore posed a possibility for remote code execution via this S3 bucket.

(…) Test-scripts for postgis in mason-repository using unsafe unzip of content from unclaimed bucket creates potential RCE-issues

Czyli podsumowując, jakiś testowy skrypt rozpakowywał zipa z bucketa, który już został skasowany. Ktoś stworzył ponownie bucket (z odpowiednią domeną), w zip-ie zapewne wrzucił np. webshella i mamy dostęp na serwer. Nagroda? $12 500.

–Michał Sajdak