A AWS introduziu uma nova funcionalidade de segurança que visa mitigar o ataque conhecido como Bucketsquatting (ou S3 Bucket Namesquatting), uma técnica documentada pela primeira vez em 2019 pelo engenheiro de cloud Ian Mckay. A vulnerabilidade explora convenções de nomenclatura previsíveis no AWS S3, permitindo que atacantes registrem buckets que foram excluídos ou expiraram, mas que ainda recebem tráfego legítimo de aplicações ou redes internas, possibilitando a interceptação de dados sensíveis e até o sequestro de atualizações de software.
A Nova Defesa: Namespaces Regionais Vinculados à Conta
A proteção, anunciada em março de 2026, permite que administradores AWS vinculem nomes de buckets a IDs de conta e a um namespace regional. O padrão proposto é: [nome_do_bucket]-[ID_da_conta]-[região_AWS]-[namespace]. Esta abordagem cria um identificador globalmente único para o bucket, impedindo que terceiros registrem o mesmo nome em uma conta diferente, mesmo após a desativação do recurso original.
É crucial notar que a proteção não é retroativa. Buckets existentes ou templates publicados que usam padrões de nomenclatura sem o namespace não são automaticamente protegidos. A migração proativa de dados para novos buckets criados com o novo padrão é necessária para garantir a segurança. Ian Mckay destacou que, embora a AWS já suportasse namespaces anteriormente, esta implementação representa uma proteção mais robusta e direta contra o problema.
Contexto e Urgência: A Demonstração do WatchTowr Labs
A urgência para essa mitigação foi reforçada por uma demonstração prática em fevereiro, quando pesquisadores do WatchTowr Labs registraram aproximadamente 150 buckets S3 previamente pertencentes a projetos comerciais e de código aberto abandonados. Esses buckets continuavam a receber tráfego ativo, incluindo de domínios governamentais, militares e empresas da Fortune 500. Em alguns casos, o tráfego indicava que os buckets eram usados para entregar configurações de servidor ou atualizações de software, colocando os pesquisadores em posição de potencialmente comprometer redes remotas.
“This doesn’t retroactively protect any existing buckets (or published templates that use a region prefix/suffix pattern without the namespace), but it does provide a strong protection for new buckets going forward.”
Panorama Comparativo e Lições Aprendidas
Outros provedores de nuvem já possuem mecanismos de defesa contra o bucketsquatting. O Azure e o Google Cloud implementam proteções, mas utilizando métodos diferentes. A resposta da AWS fecha uma lacuna de segurança de longa data em sua plataforma, destacando a importância da gestão proativa do ciclo de vida de ativos de cloud, incluindo a desativação completa de referências a recursos excluídos.
Para equipes de segurança, as ações imediatas são claras: 1) Auditar buckets S3 existentes para identificar aqueles com nomes genéricos ou previsíveis; 2) Priorizar a migração de dados críticos ou buckets que recebem tráfego automático para novos recursos utilizando o padrão de namespace regional; 3) Revisar e atualizar templates de infraestrutura como código (IaC) para incorporar a nova convenção de nomenclatura.
A implementação é um passo significativo para a segurança proativa na AWS, mas serve como um lembrete de que a configuração segura na nuvem é um processo contínuo, exigindo revisão constante à medida que novos serviços e funcionalidades são lançados.
Análise baseada no Risky Bulletin (20/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário