Public AWS S3 bucket with file listing enabled

Bucket público de AWS S3 con listado de archivos habilitado

Risk: medium

Descripción

AWS proporciona el almacenamiento de servicio web S3 para almacenar y recuperar datos fácilmente. El acceso al bucket de S3 puede permitir el control de acceso e implementar algunas configuraciones de seguridad. El bucket de S3 ha estado detrás de varias vulneraciones de datos de alto perfil y es una configuración incorrecta común.

Se detectó un bucket de AWS S3 accesible públicamente con información potencialmente confidencial. La información se detectó ya que el bucket permite el listado de archivos, y un atacante puede navegar por todo el contenido del bucket.

Recomendación

Para garantizar la configuración adecuada del bucket de AWS S3:

• Asegúrese de que se requiera acceso público. De lo contrario, restrinja el acceso solo a los usuarios autorizados.
• Si se requiere acceso público, asegúrese de que sea necesario el listado de archivos. De lo contrario, elimine el permiso de listar objetos del acceso de todos los usuarios.
• Si se requiere acceso público, asegúrese de que no se almacene información confidencial en el bucket.

Enlaces

• AWS S3 bucket - another layer of protection

Estándares

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_7_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
  • CC_8_1