Investigadores de seguridad en la nube han descubierto una serie de vulnerabilidades críticas relacionadas cuentas con los roles IAM (Identity and Access Management) predeterminados en Amazon Web Services (AWS). Estos roles, que son creados automáticamente o recomendados durante la configuración inicial de servicios como Amazon SageMaker, AWS Glue, EMR y Lightsail, pueden otorgar permisos excesivos, exponiendo las cuentas a una serie de riesgos de seguridad graves.
Según un informe publicado por Aqua Security, estos roles predeterminados frecuentemente vienen con políticas como
1 | AmazonS3FullAccess |
, lo que significa que pueden acceder y modificar todos los buckets de Amazon S3 dentro de la cuenta. Esto abre la puerta a movimientos laterales dentro del entorno de AWS, escalada de privilegios y, en ciertos casos, el compromiso total de la cuenta.
Roles predeterminados con privilegios excesivos
Los investigadores Yakir Kadkoda y Ofek Itach de Aqua explican que estos roles introducen silenciosamente rutas de ataque que permiten a los actores de amenazas evadir las restricciones entre servicios. Uno de los ejemplos más preocupantes es el rol
1 | ray-autoscaler-v1 |
, creado por el marco de código abierto Ray, que automáticamente recibe acceso completo a S3 sin necesidad del usuario.
Ejemplos específicos de roles vulnerables:
-
Amazon SageMaker: Crea el rol
1AmazonSageMaker-ExecutionRole-<Date&Time>, que incluye políticas equivalentes a
1AmazonS3FullAccess.
-
AWS Glue: Crea el rol
1AWSGlueServiceRolecon acceso completo a S3.
-
Amazon EMR: Genera el rol
1AmazonEMRStudio_RuntimeRole_<Epoch-time>, también con
1AmazonS3FullAccess.
Escenarios de ataque: de S3 a toda la cuenta
Uno de los vectores más alarmantes es el uso de estos roles para escalar privilegios. Por ejemplo, un atacante puede cargar un modelo de aprendizaje automático malicioso en Hugging Face. Si este modelo es importado a SageMaker, puede ejecutarse código arbitrario. Este código puede modificar activos en servicios como Glue, insertando puertas traseras que capturen credenciales IAM.
Desde ahí, el atacante puede buscar buckets asociados a CloudFormation y sustituir plantillas legítimas por versiones maliciosas. Así, el adversario no solo compromete un servicio, sino que puede controlar múltiples servicios dentro de la misma cuenta de AWS, logrando una escalada de privilegios encadenada.
Además, este tipo de ataque elimina la necesidad de adivinar nombres de buckets, como ocurría en los llamados ataques de «bucket monopolization». Con los permisos disponibles en los roles predeterminados, los atacantes pueden simplemente buscar los recursos dentro de la cuenta y manipularlos directamente.
Mitigación por parte de AWS
En respuesta a la divulgación, Amazon Web Services tomó medidas correctivas:
-
Se modificó la política
1AmazonS3FullAccesspara los roles de servicio predeterminados en servicios como Glue, EMR, SageMaker y CDK.
-
Amazon Lightsail actualizó su documentación para instar a los usuarios a limitar el alcance de sus buckets S3.
-
AWS CDK ahora asegura que los activos solo se carguen en buckets dentro de la cuenta del usuario.
Amazon afirmó que, tras revisar los servicios afectados, no se detectaron comportamientos anómalos ni incidentes de explotación activa. Sin embargo, esta respuesta no elimina la necesidad de una revisión proactiva por parte de los administradores de cuentas de AWS.
Recomendaciones para organizaciones
Los investigadores enfatizan la necesidad urgente de que las organizaciones auditen sus roles IAM existentes, especialmente los generados automáticamente por servicios de AWS. Los roles predeterminados deben tener un alcance mínimo y específico, restringido a las acciones necesarias para su función, en lugar de confiar en políticas generalizadas como
1 | AmazonS3FullAccess |
.
Las buenas prácticas incluyen:
-
Revisar regularmente las políticas adjuntas a los roles IAM.
-
Restringir permisos excesivos como el acceso completo a S3.
-
Implementar la separación de privilegios entre servicios.
-
Usar herramientas como IAM Access Analyzer para identificar permisos no utilizados o excesivos.
Amenaza similar en Microsoft Azure
Como parte de su investigación, Aqua también destacó una vulnerabilidad en Microsoft Azure relacionada con la utilidad AZNFS-mount, preinstalada en entornos de Azure AI y High-Performance Computing (HPC). Esta herramienta contenía un binario SUID que permitía a usuarios sin privilegios elevarse a root en máquinas Linux, una vulnerabilidad corregida en la versión 2.0.11 lanzada el 30 de enero de 2025.
Este hallazgo subraya que los problemas de seguridad derivados de configuraciones predeterminadas inseguras no son exclusivos de AWS, sino que afectan también a otras plataformas de nube líderes como Azure.
En fin, los roles IAM predeterminados representan una amenaza seria para la seguridad en la nube de AWS. Aunque diseñados para facilitar la integración entre servicios, su uso sin una configuración adecuada puede convertirlos en vectores de ataque altamente eficaces. Las organizaciones deben actuar con urgencia para revisar y minimizar los privilegios concedidos por estos roles, evitando así exposiciones innecesarias y protegiendo la integridad de sus entornos en la nube.
Fuente: The Hacker News
