nulltropic

NULLTROPIC

AWS Security Digest #251: Blast Radius e Vulnerabilidades

O conceito de “blast radius” ganhou uma definição prática e dolorosa com o recente incidente da LexisNexis. Um aplicativo React não corrigido serviu como ponto de entrada, mas a verdadeira catástrofe ocorreu com a escalada de privilégios: uma função de tarefa ECS excessivamente permissiva concedia acesso de leitura a todos os segredos da conta AWS. O resultado foi a exfiltração de 536 tabelas do Redshift, 53 segredos do AWS Secrets Manager em texto puro e 3,9 milhões de registros de banco de dados. Este caso é um lembrete brutal de que a superfície de ataque não se limita ao ponto de entrada inicial; a configuração de IAM e a gestão de segredos definem o real raio de explosão.

A Lacuna Perigosa: Console AWS vs. Terraform

Um artigo de Laurence Tennant destaca uma discrepância crítica de segurança. O Console AWS agora aplica padrões seguros, como criptografia obrigatória para RDS e a exigência de um ARN de origem em permissões do Lambda. No entanto, o Terraform herda os padrões legados da API, onde storage_encrypted é false e source_arn é opcional. Isso cria uma postura de segurança radicalmente diferente para o mesmo recurso, dependendo da ferramenta de provisionamento. A solução passa pela implementação de SCPs (Service Control Policies), uso de ferramentas como o Trivy para escanear código de infraestrutura e a adoção de “módulos dourados” que impõem configurações seguras por padrão.

Priorização Estratégica de Serviços de Segurança

Sena Yakut oferece um contraponto crucial: ativar todos os serviços de segurança da AWS no primeiro dia gera milhares de alertas ignorados e dashboards não monitorados. A abordagem recomendada começa com a modelagem de ameaças da arquitetura real para identificar os pontos de ruptura críticos. Em seguida, selecionam-se os controles que correspondem a esses riscos. A análise cobre a conscientização de custos, a sobreposição de serviços com ferramentas de terceiros e defende que o uso do IAM Identity Center com credenciais temporárias é frequentemente mais eficaz do que adicionar camadas de monitoramento.

Vulnerabilidades em Destaque: Amazon Linux e Componentes Críticos

A newsletter lista uma série de CVEs relevantes para o Amazon Linux, exigindo atenção imediata:

  • libsoup (CVE-2026-3632, CVE-2026-3634, CVE-2026-3633): Conjunto de falhas que permitem bypass de validação de hostname, smuggling HTTP/SSRF, injeção de cabeçalho Content-Type e splitting de resposta, e injeção arbitrária de cabeçalhos HTTP.
  • Linux Kernel f2fs (CVE-2026-23235, CVE-2026-23233): Acesso OOB à memória via sysfs (CVSS 7.8) e corrupção de dados em swap (CVSS 7.1).
  • QEMU virtio-snd (CVE-2026-3196, CVE-2026-3195): Overflow de inteiro causando alocação de memória ilimitada e escrita fora dos limites no heap (CVSS 7.4).
  • CPython (CVE-2026-2297): Importação de arquivos .pyc que ignora hooks de auditoria do sys.audit.
  • MariaDB (CVE-2026-3494): Bypass do plugin de auditoria via prefixos de comentários SQL.

Atualizações e Mudanças Críticas na Documentação

Várias alterações na documentação oficial da AWS merecem destaque para administradores de segurança:

  • CDK: Codificar credenciais da AWS agora é explicitamente “não recomendado para produção”.
  • Amazon Inspector: A correção para o CVE-2025-15558 requer o SBOM Generator v1.11.1. A versão 1.11.1 também foi lançada com suporte a checksums SHA-256.
  • Amazon Linux 2023: Suporte ao kernel 6.18 e introdução de “Attack Vector Controls” para mitigações de CPU.
  • Aurora DSQL: O tempo de expiração padrão dos tokens foi reduzido para 15 minutos. Foram adicionadas orientações sobre políticas de chaves KMS gerenciadas pelo cliente.
  • Security IR (Resposta a Incidentes): A resposta proativa foi removida como “opcional” e agora é um recurso central, com dependência do GuardDuty.
  • SMS/Voice: Simulações de phishing/smishing via SMS agora são expressamente proibidas.

Lições para Contenção do Raio de Explosão

O incidente da LexisNexis e as atualizações técnicas desta semana reforçam princípios fundamentais:

  • Princípio do Menor Privilégio (IAM): Revisar e restringir permissões de funções de tarefa ECS, funções Lambda e usuários IAM é a barreira mais eficaz contra a expansão lateral.
  • Gestão de Segredos: Segredos devem ser armazenados em serviços dedicados (Secrets Manager, Parameter Store) e acessados sob demanda, nunca embutidos em políticas ou definições de tarefas.
  • Consistência de Provisionamento: Alinhar as configurações padrão entre Console, Terraform, CDK e outras ferramentas por meio de políticas de guardrail e módulos seguros.
  • Priorização Inteligente: Focar serviços de segurança em riscos identificados pela modelagem de ameaças, não em uma cobertura genérica que gera ruído.
  • Hygiene de Patch: Manter-se atualizado com os boletins de segurança do Amazon Linux e dos componentes de software é não negociável, especialmente para bibliotecas de rede como libsoup.

Em um ambiente cloud, o “blast radius” é determinado pela interação entre vulnerabilidades de aplicação, configurações de IAM permissivas e segredos mal protegidos. A defesa eficaz requer uma abordagem em camadas que vá muito além da simples correção do ponto de entrada inicial.

Análise baseada no AWS Security Digest #251 (09/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *