← Torna al Blog
Briefing di Sicurezza
🔴 Critico
Cloud Sotto Assedio: Vulnerabilità Critiche AWS, Azure & GCP
Sintesi Esecutiva
Vulnerabilità critiche scoperte in AWS IAM Identity Center e Azure Active Directory rappresentano un rischio immediato per gli ambienti cloud. Google Cloud Platform conferma accessi non autorizzati ai metadati di Cloud SQL. Le organizzazioni multi-cloud affrontano attacchi coordinati che sfruttano le relazioni di trust tra i provider.
⚡ In sintesi: Applichi immediatamente le patch per AWS IAM Identity Center e Azure AD. Verifichi le relazioni di trust cross-cloud.
Perché È Importante
Una vulnerabilità critica di bypass dell'autenticazione in AWS IAM Identity Center consente agli aggressori con accesso di rete ai provider di identità federati di assumere qualsiasi ruolo negli account AWS connessi. Rilevato sfruttamento attivo in ambiente reale.
| Impatto |
Descrizione |
| Acquisizione Account |
Accesso amministrativo completo a tutti gli account AWS connessi |
| Esfiltrazione Dati |
Accesso a S3, RDS, Secrets Manager e tutti i servizi |
| Persistenza |
Creazione di utenti e ruoli IAM backdoor |
| Frode di Fatturazione |
Cryptomining e abuso di risorse |
Come Proteggersi — Azioni da Intraprendere
- Applichi immediatamente la patch di emergenza AWS tramite la console Identity Center
- Verifichi i log CloudTrail per eventi AssumeRole sospetti dal 15 gennaio
- Abiliti AWS CloudTrail Lake per analisi forensi avanzate
- Ruoti tutti i certificati dei provider di identità federati
- Abiliti IAM Access Analyzer per la verifica degli accessi cross-account
Perché È Importante
Una falla nel motore di valutazione del Conditional Access di Azure Active Directory consente agli aggressori di bypassare le policy di conformità dei dispositivi e basate sulla posizione utilizzando token di autenticazione manipolati. Microsoft conferma lo sfruttamento attivo mirato alle aziende con deployment ibridi Azure AD.
Scenario Peggiore
🔓
Bypass MFA
Bypass dei requisiti di autenticazione multifattore per account privilegiati.
📍
Spoofing della Posizione
Accesso da località/dispositivi non attendibili che appaiono legittimi.
🔗
Compromissione SaaS
Compromissione delle applicazioni SaaS connesse ad Azure AD.
Come Proteggersi — Azioni da Intraprendere
- Applichi l'aggiornamento di sicurezza di emergenza Microsoft KB5034441
- Abiliti la Continuous Access Evaluation (CAE) per tutte le app critiche
- Verifichi i log di accesso di Azure AD per claim di token anomali
- Implementi le policy basate sul rischio di Azure AD Identity Protection
- Distribuisca le regole di rilevamento di Microsoft Sentinel per tentativi di bypass delle policy
Perché È Importante
Google ha divulgato un accesso non autorizzato ai metadati delle istanze Cloud SQL che interessa i clienti nelle regioni us-central1 ed europe-west1. I dati esposti includono stringhe di connessione al database, indirizzi IP e, in alcuni casi, credenziali memorizzate.
Come Proteggersi — Azioni da Intraprendere
- Ruoti tutte le credenziali dei database Cloud SQL
- Verifichi le istanze Cloud SQL per whitelist IP non autorizzate
- Abiliti Cloud SQL Insights per il monitoraggio delle query
- Migri i carichi di lavoro sensibili a Cloud SQL con solo IP privato
- Verifichi le autorizzazioni IAM per i ruoli cloudsql.instances.*
Perché È Importante
L'attore di minaccia "CloudHopper 2.0" sta attivamente sfruttando le relazioni di trust tra AWS, Azure e GCP negli ambienti multi-cloud. L'accesso iniziale avviene tipicamente dal cloud meno protetto, per poi ruotare attraverso credenziali condivise e identità federate.
Come Proteggersi — Azioni da Intraprendere
- Verifichi i ruoli IAM cross-cloud e gli account di servizio
- Implementi credenziali univoche per ciascun provider cloud
- Distribuisca strumenti CSPM cloud-nativi per visibilità unificata
- Segmenti le reti cloud a livello di identità
- Verifichi le configurazioni VPN e peering cloud-to-cloud
Perché È Importante
I ricercatori hanno scoperto oltre 2.400 file di stato Terraform pubblicamente accessibili in bucket S3 contenenti credenziali cloud, chiavi API e dettagli dell'infrastruttura. Molti appartengono ad aziende Fortune 500.
Come Proteggersi — Azioni da Intraprendere
- Abiliti S3 Block Public Access a livello di account
- Migri lo stato Terraform a backend crittografati (S3+DynamoDB con KMS)
- Utilizzi terraform-compliance per verificare le configurazioni di stato
- Abiliti le regole AWS Config per il rilevamento di bucket S3 pubblici
La Sua Checklist di Azioni per Questa Settimana
Critico — Da Fare Oggi
- Applichi immediatamente la patch per AWS IAM Identity Center
- Applichi l'aggiornamento di sicurezza Azure AD KB5034441
- Ruoti le credenziali Google Cloud SQL se nelle regioni interessate
Alto — Da Fare Questa Settimana
- Verifichi le relazioni di trust cross-cloud e le credenziali condivise
- Abiliti il logging avanzato su tutti i provider cloud
- Verifichi l'archiviazione e la crittografia dei file di stato Terraform
Medio — In Corso
- Implementi le regole di rilevamento SIEM cloud-native
- Pianifichi una valutazione della postura di sicurezza multi-cloud
- Distribuisca strumenti CSPM per visibilità unificata