Hybrid-Cloud-Umgebungen werden zum Rückgrat der IT-Infrastruktur von Unternehmen und bieten eine beispiellose Skalierbarkeit und Flexibilität. Diese vernetzte Architektur führt jedoch zu neuen Schwachstellen, insbesondere durch Tools wie AWS Systems Manager (SSM). In unserer neuesten Studie untersuchen wir, wie AWS SSM, ein Tool zur optimierten Host-Verwaltung, von Angreifern für laterale Bewegungen, Privilegieneskalation und Persistenz ausgenutzt werden kann.
Für wen ist dieser Artikel gedacht?
- Sicherheitsforscher und Red Teamer: Erkunden Sie Angriffsszenarien und -techniken, die AWS SSM nutzen.
- Sicherheitsexperten in Unternehmen: Erhalten Sie umsetzbare Einblicke in die Risikominderung in hybriden Umgebungen.
- IT-Administratoren: Verstehen Sie, wie Angreifer legitime Management-Tools ausnutzen können und wie Sie diese schützen können.
Zusammenfassung
AWS Systems Manager (SSM) ist ein Management-Tool, das die Lücke zwischen lokalen und Cloud-Ressourcen schließt und eine zentrale Steuerung hybrider Umgebungen ermöglicht. Obwohl es für Administratoren von großem Nutzen ist, machen seine Funktionen – wie erweiterte Berechtigungen, vertrauenswürdiger Binärstatus und nahtlose Integration – es für Angreifer gleichermaßen attraktiv.
Unsere Forschung zeigt, wie Angreifer AWS SSM nutzen, um laterale Bewegungen auszuführen, Firewalls zu umgehen und sensible Anmeldedaten zu sammeln. Zum Beispiel zeigen wir:
- Grundlegende Angriffsszenarien: Ein Phishing-Angriff, um an AWS-Anmeldedaten zu gelangen, gefolgt von der Nutzung von SSM-Agenten, die auf lokalen Servern installiert sind, um sensible Daten zu sammeln und dauerhafte Hintertüren zu schaffen.
- Fortgeschrittene Angriffsszenarien: Umgehung strenger lokaler Firewall-Konfigurationen mithilfe von SSM, um auf eingeschränkte Segmente zuzugreifen, Befehle auszuführen und sensible Daten zu exfiltrieren.
- Ausnutzung mit Automatisierung: Verwendung von Skripten zur Auflistung von SSM-verwalteten Geräten und Ausführung von Nutzlasten, z. B. Extrahieren von SSH-Schlüsseln, um eine weitere Netzwerkverbreitung zu ermöglichen.
Diese Angriffsszenarien verdeutlichen die zweischneidige Natur von AWS SSM in hybriden Umgebungen und unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen.
Betrifft dies meine Organisation?
Hybride Netzwerkumgebungen sind weit verbreitet, wobei viele Cloud-Setups von Unternehmen als hybride Architekturen implementiert werden. Organisationen, die AWS SSM nutzen – insbesondere solche mit lokal verwalteten Geräten – sind einem potenziellen Risiko ausgesetzt. Sektoren mit strengen regulatorischen Anforderungen oder komplexen hybriden Infrastrukturen sollten diesen Erkenntnissen besondere Aufmerksamkeit schenken.
Wer könnte betroffen sein?
- Unternehmen, die AWS SSM für das Flotten- und Sitzungsmanagement nutzen.
- Organisationen mit lokalen Servern, die in AWS-Ökosysteme integriert sind.
- Teams, die auf Automatisierungstools angewiesen sind, die innerhalb hybrider Architekturen einen hochprivilegierten Zugriff nutzen.
Auswirkungen
Der Missbrauch von AWS SSM kann schwerwiegende Folgen haben, darunter:
- Kompromittierung von Anmeldedaten: Angreifer erhalten über kompromittierte SSM-Agenten Zugriff auf sensible Anmeldedaten.
- Seitwärtsbewegung: Ausnutzung vertrauenswürdiger Kommunikationskanäle zur Verbreitung über Netzwerksegmente hinweg.
- Dauerhafte Hintertüren: Nutzung hoher Privilegien zur Erstellung nicht autorisierter Konten und zur Aufrechterhaltung eines heimlichen Zugriffs.
- Regulatorische und Compliance-Risiken: Sicherheitsverletzungen, die sensible Daten betreffen, die vor Ort oder in der Cloud gespeichert sind.
Abhilfemaßnahmen
Um das Risiko einer Ausnutzung von AWS SSM zu verringern, sollten Organisationen die folgenden Strategien umsetzen:
- Prinzipien der geringsten Privilegien anwenden
- Regelmäßige Rotation von Anmeldedaten
- SSM-Benutzerkonten überwachen
- Detaillierte Protokollierung aktivieren
- SSM-Bereitstellung einschränken
Diese Abhilfemaßnahmen stellen sicher, dass die Vorteile von AWS SSM und Hybridumgebungen nicht durch Sicherheitsrisiken überschattet werden.
Schlussfolgerung
AWS SSM ist ein Beispiel für die Balance zwischen Funktionalität und Risiko in hybriden Cloud-Umgebungen. Wenn Organisationen verstehen, wie Angreifer diese Tools ausnutzen, können sie Bedrohungen proaktiv abwehren und gleichzeitig die betriebliche Effizienz aufrechterhalten.
Lesen Sie den vollständigen Forschungsartikel, um mehr zu erfahren.
Ihr Kontakt zu uns:
Matan Katz, Regional Development
Hier direkt einen Termin buchen:
https://pentera.oramalthea.com/c/MatanKatz
Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera
Hanspeter Karl, Area Vice President DACH, Pentera
Firma zum Thema
Fachartikel
Warum ist Data Security Posture Management (DSPM) entscheidend?
CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle
Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten
Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet
2,3 Millionen Organisationen setzen auf DMARC-Compliance
Studien
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern
Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
Whitepaper
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten – eine Herausforderung für die Unternehmenssicherheit
eBook: Cybersicherheit für SAP
Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird
Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung
