Исследователи выявили уязвимости в поиске бакетов AWS S3, позволяющие захватывать учетные записи, удаленное выполнение кода и кражу данных. Researchers expose AWS S3 bucket naming vulnerabilities enabling account takeover, remote code execution, and data theft.

Исследователи в команде "Nautilus" компании "Aqua Security" обнаружили уязвимость в шести службах AWS, которые могут позволить нападающим выполнять дистанционные коды, красть данные или брать счета. Researchers at Aqua Security's Nautilus team exposed vulnerabilities in six AWS services that could enable attackers to execute remote code, steal data, or take over accounts. Уязвимости, известные как «монополия на корзины», используют предсказуемое именование корзин AWS S3, что потенциально может привести к захвату учетных записей, удаленному выполнению кода и раскрытию конфиденциальных данных. The flaws, known as "Bucket Monopoly," exploit the predictable naming of AWS S3 buckets, potentially leading to account takeover, remote code execution, and sensitive data disclosure. Aqua Security исправила проблемы и предупреждает, что подобные проблемы могут существовать в других сервисах AWS и проектах с открытым исходным кодом. Aqua Security has fixed the issues and warns that similar problems may exist in other AWS services and open-source projects.