Onderzoeker vindt AWS-keys Intel en Amazon in Python Package Index

[Captain Kirk]

Een Python-ontywikkelaar heeft in de packages die via de Python Package Index (PyPI) worden aangeboden tientallen werkende AWS access keys gevonden, onder andere van Amazon, Intel, de Australische overheid en verschillende universiteiten. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages.

Tom Forbes ontwikkelde een tool om alle via PyPI aangeboden packages op de aanwezigheid van AWS acces keys te scannen. Via deze keys kan er toegang tot allerlei AWS-services worden verkregen. Iets wat niet de bedoeling is en vergaande gevolgen kan hebben. Toch blijkt het nog geregeld voor te komen dat ontwikkelaars deze keys achterlaten. Volgens Forbes is het redelijk eenvoudig om de aanwezigheid van AWS-keys te detecteren.

Via 11 van de in totaal 57 gevonden actieve AWS-keys kon er als root toegang worden verkregen. 22 waren er voor service-accounts en 18 voor gebruikersaccounts. Volgens Forbes is de aanwezigheid van de keys toe te schrijven aan onbedoelde aanpassingen of het bundelen van bestanden, testdata en "legitiem" gebruik. Het gaat dan om keys die worden gebruikt voor het uploaden van tijdelijke bestanden naar de S3-dataopslag van Amazon.

 

bron: https://www.security.nl