A AWS introduziu uma nova funcionalidade de segurança que visa mitigar o ataque conhecido como S3 Bucket Namesquatting ou Bucketsquatting. A técnica, descrita pela primeira vez em 2019 pelo engenheiro de cloud Ian Mckay, explora convenções de nomenclatura previsíveis no AWS S3 para registrar buckets cujos nomes expiraram ou foram excluídos por seus proprietários originais. Se o tráfego ainda for direcionado para esses buckets antigos, atacantes podem coletar dados de redes internas ou aplicações públicas, resultando em incidentes de segurança graves.
A Nova Defesa: Namespaces Regionais com Account ID
A nova funcionalidade permite que administradores da AWS vinculem nomes de buckets a IDs de conta e um namespace regional. O padrão de nomenclatura segue a estrutura: [nome_do_bucket]-[account_ID]-[região_AWS]-[namespace]. Essa abordagem cria um identificador único que impede a reutilização maliciosa do nome do bucket em uma conta diferente na mesma região.
Conforme destacado por Mckay, a proteção não é retroativa para buckets existentes ou para templates publicados que usam padrões de prefixo/sufixo de região sem o namespace. A proteção forte aplica-se apenas a novos buckets criados com o padrão. Para proteger buckets existentes, é necessário criar novos buckets com o padrão de namespace e migrar os dados.
Contexto e Urgência da Mitigação
O problema ganhou atenção renovada em fevereiro, quando pesquisadores da WatchTowr Labs registraram cerca de 150 buckets AWS S3 previamente pertencentes a projetos comerciais e de código aberto abandonados. Esses buckets ainda recebiam tráfego ativo, incluindo de domínios governamentais, militares e empresas da Fortune 500. Parte do tráfego sugeria que os buckets eram usados para entregar atualizações de software ou configurações de servidor, colocando os pesquisadores em posição de sequestrar redes remotas.
Embora a AWS já suportasse namespaces de bucket há algum tempo, a nova implementação oferece uma proteção mais robusta. Vale notar que Azure e Google Cloud possuem proteções contra bucketsquatting, mas utilizam métodos diferentes.
“This doesn’t retroactively protect any existing buckets (or published templates that use a region prefix/suffix pattern without the namespace), but it does provide a strong protection for new buckets going forward.”
Implicações Práticas e Ações Recomendadas
A implementação desta funcionalidade é um passo crítico para a segurança proativa na nuvem. As equipes de segurança e engenharia devem:
- Avaliar o inventário de buckets S3: Identificar todos os buckets ativos e seus padrões de nomenclatura.
- Planejar a migração para o novo padrão: Para buckets críticos que ainda usam nomenclatura antiga, planejar a criação de novos buckets com o namespace e a subsequente migração de dados.
- Atualizar automações e templates: Revisar e atualizar scripts de IaC (Infrastructure as Code), CloudFormation, Terraform ou outros templates para utilizar o novo padrão de nomenclatura em todos os novos deployments.
- Monitorar tráfego para endpoints obsoletos: Implementar monitoramento para detectar tentativas de acesso a buckets descontinuados, o que pode indicar tentativas de exploração ou configurações incorretas.
A correção proativa dessa vulnerabilidade de superfície de ataque reduz significativamente o risco de vazamento de dados, comprometimento de cadeia de suprimentos de software e acesso não autorizado a sistemas internos via buckets S3 maliciosos.
Análise baseada no Risky Bulletin (20/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário