AWS credentials disclosure vulnerability
AWS 서비스에 대한 접근은 AWS 접근 정보(Access key, Secret key)로 이루어지며, 관리 미흡으로 AWS 접근 정보(Access key, Secret key)가 타인에게 노출될 경우, 해당 접근 정보에 할당된 권한으로 AWS 리소스에 대한 악의적인 행위가 가능하다.
AWS 접근 정보(Access key, Secret key)가 노출되는 요인은 다음과 같다.
-
소스코드 형상 관리 시스템(Git) 관리 미흡 (버전 업데이트 시 기존 정보 미삭제 /소스코드 형상 관리 시스템(Git) 외부 접근 허용)
-
소스코드에 AWS 접근 정보 하드코딩 / 소스코드에 테스트 정보 관리 미흡
-
내부망 임직원 서비스에 AWS 접근 정보 공유
-
AWS S3 버킷 설정 미흡(AWS S3 버킷에 AWS 접근 정보 관리)
-
기타 관리 미흡
AWS credentials disclosure vulnerability
Access to AWS services is made up of AWS credentials(Access key, Secret key), and if the AWS credentials(Access key, Secret key) is exposed to others due to insufficient management, the authority assigned to that credentials can be malicious to AWS resources.
The reasons why AWS credentials (Access key, Secret key) is exposed are as follows:
-
Poor management of source code shape management system (Git) (External access to existing information missile/source code shape management system (Git) upon version update)
-
AWS credentials hardcoding on source code / insufficient test information management on source code
-
Sharing AWS credentials to internal network executives and employees' services
-
Insufficient AWS S3 bucket setup (AWS credentials management in AWS S3 buckets)
-
Etc(Other insufficient management)
Examples of disclosure of AWS credentials
'AWS Security' 카테고리의 다른 글
| AWS 취약점 6가지 (0) | 2021.09.17 |
|---|---|
| AWS 취약점 리스트 AWS Vulnerability List (4) | 2021.01.14 |
| AWS S3 버킷 취약점 AWS S3 Bucket Vulnerability (3) | 2021.01.13 |
| AWS S3 보안 가이드 Part 1 AWS S3 Security Guide Part 1 (11) | 2020.12.17 |
| AWS 침투테스트 체크리스트 AWS Penetration Testing Checklist (14) | 2020.12.16 |
댓글