Public AWS S3 bucket with file listing enabled

Bucket AWS S3 public avec listing de fichiers activé

Risk: medium

Description

AWS propose le stockage de service web S3 pour stocker et récupérer des données facilement. L'accès au bucket S3 peut permettre de contrôler les accès et d'implémenter certains paramètres de sécurité. Les buckets S3 ont été à l'origine de plusieurs compromissions de données de grande envergure et représentent une mauvaise configuration courante.

Un bucket AWS S3 accessible publiquement et contenant potentiellement des informations sensibles a été détecté. L'information a été détectée car le bucket permet le listage des fichiers, et un attaquant peut naviguer dans l'intégralité du contenu du bucket.

Recommandation

Pour garantir la configuration appropriée du bucket AWS S3 :

• Assurez-vous que l'accès public est réellement requis. Si ce n'est pas le cas, restreignez l'accès aux seuls utilisateurs autorisés.
• Si l'accès public est requis, assurez-vous que le listage des fichiers est nécessaire. Si ce n'est pas le cas, supprimez la permission de lister les objets de l'accès de tous les utilisateurs.
• Si l'accès public est requis, assurez-vous qu'aucune information sensible n'est stockée dans le bucket.

Liens

• AWS S3 bucket - another layer of protection

Normes

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_7_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
  • CC_8_1