A AWS introduziu uma nova funcionalidade de segurança que promete mitigar de forma significativa o ataque conhecido como “S3 Bucket Namesquatting” ou “Bucketsquatting”. A vulnerabilidade, descrita inicialmente em 2019 pelo engenheiro de cloud Ian Mckay, explora convenções de nomenclatura previsíveis no Amazon S3. Ataques ocorrem quando um adversário registra um bucket cujo nome pertencia anteriormente a outro proprietário, mas que foi excluído ou expirou. Se aplicações ou fluxos de dados internos ainda tentarem acessar o endpoint antigo, o atacante pode coletar dados sensíveis, configurar entregas de malware ou até mesmo sequestrar processos de atualização de software.
A Nova Defesa: Namespaces Regionais Vinculados à Conta
A solução da AWS, anunciada na semana passada, permite que administradores vinculem nomes de buckets a IDs de conta e a um namespace regional. O padrão de nomenclatura fica assim:
🪣[nome_do_bucket]-[ID_da_conta]-[região_AWS]-[namespace]
Essa mudança cria um identificador globalmente único, impedindo que um atacante em uma conta diferente recrie um bucket com o mesmo nome, mesmo que o bucket original tenha sido deletado. Como Ian Mckay destacou, a proteção não é retroativa para buckets existentes ou para templates publicados que usam padrões antigos. A migração de dados para novos buckets criados com o padrão de namespace é necessária para proteger ativos atuais.
Contexto e Gravidade do Ataque
O problema ganhou atenção renovada em fevereiro, quando pesquisadores da WatchTowr Labs registraram cerca de 150 buckets S3 que pertenciam a projetos comerciais e de código aberto abandonados. Esses buckets continuavam a receber tráfego, incluindo de domínios governamentais, militares e empresas da Fortune 500. O tráfego indicava que alguns buckets eram usados anteriormente para entregar atualizações de software ou configurações de servidor, colocando os pesquisadores em posição de potencialmente comprometer redes remotas. A AWS agora se alinha a provedores como Azure e Google Cloud, que já possuíam proteções contra bucketsquatting, embora com métodos diferentes.
“This doesn’t retroactively protect any existing buckets (or published templates that use a region prefix/suffix pattern without the namespace), but it does provide a strong protection for new buckets going forward.”
Lições de Segurança e Ações Imediatas
Para equipes de segurança e engenharia de cloud, a implementação exige ação proativa:
- Inventário e Avaliação: Identifique todos os buckets S3 em uso, especialmente aqueles referenciados em código, configurações de CI/CD ou aplicações.
- Migração Planejada: Para buckets críticos, planeje a criação de novos buckets utilizando o padrão de namespace regional e migre os dados e atualize as referências de endpoint.
- Governança de Nomenclatura: Estabeleça e aplique políticas de nomenclatura que incorporem o novo padrão para todos os buckets futuros.
- Monitoramento de Tráfego: Monitore tentativas de acesso a buckets inexistentes ou deletados, o que pode indicar configurações legadas que precisam ser corrigidas.
Esta correção pela AWS é um passo importante para eliminar uma classe de ataque de subdomínio/sub-recurso na nuvem, mas sua eficácia total depende da adoção pelas organizações. Em um cenário de segurança em nuvem, a postura proativa de configuração continua sendo a primeira e mais importante linha de defesa.
Análise baseada no Risky Bulletin (20/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário