Uma falha crítica de segurança foi divulgada na Galeria pública do Amazon Elastic Container Registry (ECR). Segundo a empresa de segurança em nuvem Lightspin, diversos ataques podem ter sido explorados por conta desta falha.
O ECR é um serviço de registro de imagens, gerenciado pela Amazon Web Services, que permite que usuários empacotem seus códigos de maneira escalável. Os repositórios públicos hospedados no ECR são exibidos no que é chamado de ECR Public Gallery.
Leia mais:
- Nio terá até 18 estações de troca de bateria na Europa até o final do ano
- Microsoft fica em primeiro lugar no ranking das empresas com melhor administradas
- Sam Bankman-Fried é preso em sua casa nas Bahamas
“Ao explorar essa vulnerabilidade, um agente mal-intencionado pode excluir todas as imagens da Amazon ECR Public Gallery ou mesmo atualizar o conteúdo da imagem para injetar um código malicioso”, disse Gafnit Amiga, diretor de pesquisa de segurança da Lightspin, em relatório compartilhado com o The Hacker News. “Esse código malicioso é executado em qualquer máquina que extrai e executa a imagem e os códigos, seja nas máquinas locais do usuário, clusters ou ambientes de nuvem”.
A empresa caracterizou a falha como uma instância de “ataque profundo à cadeia de suprimentos de software”.
A Amazon apresentou uma correção para resolver esta fragilidade em menos de 24 horas desde que o problema foi indicado.
“Essa vulnerabilidade pode potencialmente levar a negação de serviço, vazamento de dados, escalonamento de privilégios, destruição de dados e outros caminhos de ataque multivariados que são limitados apenas pela astúcia e objetivos do adversário”, observou Amiga.
“Um ator mal-intencionado pode envenenar imagens populares, ao mesmo tempo em que abusa do modelo de confiança do ECR Public, pois essas imagens seriam disfarçadas de verificadas e, assim, prejudicam toda cadeia de suprimentos”.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: