Los investigadores de ciberseguridad han revelado los detalles de una defecto de seguridad ahora parada en el agente de Amazon EC2 Simple Systems Manager (SSM) que, si se explota con éxito, podría permitir que un atacante significación la subida y la ejecución de código privilegios.
La vulnerabilidad podría permitir que un atacante cree directorios en ubicaciones no deseadas en el sistema de archivos, ejecute scripts arbitrarios con privilegios raíz y probablemente intensifique privilegios o realice actividades maliciosas escribiendo archivos a áreas confidenciales del sistema, dijo Cymulate en un crónica compartido con las telediario de los hackers.
Amazon SSM Agent es un componente de Amazon Web Services (AWS) que permite a los administradores ordenar, configurar y ejecutar comandos en las instancias de EC2 y los servidores locales.
El software procesa comandos y tareas definidas en documentos SSM, que pueden incluir uno o más complementos, cada uno de los cuales es responsable de transigir a promontorio tareas específicas, como ejecutar scripts de shell o automatizar actividades relacionadas con la implementación o configuración.
Adicionalmente, el agente SSM crea dinámicamente directorios y archivos basados en las especificaciones del complemento, que generalmente depende de las ID de complemento como parte de la estructura del directorio. Esto igualmente introduce un peligro de seguridad en esa acometividad inadecuada de estos ID de complemento puede conducir a posibles vulnerabilidades.
El Discovery by Cymulate es una defecto transversal de ruta que surge como resultado de la acometividad inadecuada de las ID de complemento, lo que podría permitir a los atacantes manipular el sistema de archivos y ejecutar código abusivo con privilegios elevados. El problema está enraizado en una función convocatoria “ValidatePluginid” internamente de Pluginutil.go.
“Esta función no puede desinfectar adecuadamente la entrada, lo que permite a los atacantes suministrar ID de complemento zorro que contienen secuencias transversales de ruta (por ejemplo, ../)”, dijo el investigador de seguridad Elad Absorber.
Como resultado de este defecto, un atacante podría esencialmente proporcionar una ID de complemento especialmente elaborada al crear un documento SSM (por ejemplo, ../../../../../../malicious_directory) para ejecutar comandos o scripts arbitrarios en el sistema de archivos subyacente, allanando el camino para la subida privilegiada y otras acciones posteriores a la explotación.
A posteriori de la divulgación responsable el 12 de febrero de 2025, la vulnerabilidad se abordó el 5 de marzo de 2025, con el propagación de Amazon SSM Agent interpretación 3.3.1957.0.
“Agregue y use el método BuildSafePath para evitar el represión de la ruta en el directorio de orquestación”, de acuerdo con las notas de la interpretación compartidas por los mantenedores del plan en GitHub.
