Reino: Environment

Esta sección incluye todo lo que está fuera del código fuente pero aun así es importante para la seguridad del producto que se está creando. Dado que todas las cuestiones incluidas en esta sección no están directamente relacionadas con el código fuente, las hemos separado de las demás secciones.

AWS CloudFormation Misconfiguration: Missing CloudTrail Log Validation

JSON
YAML

Abstract

La plantilla define una ruta sin validación del archivo de registro.

Explanation

De forma predeterminada, la validación del archivo de registro de CloudTrail está deshabilitada, lo que evita que los investigadores afirmen que no ha habido manipulaciones externas en los archivos de registro de CloudTrail.

Resultado directo de esto es que un atacante con los privilegios necesarios puede realizar cambios de configuración dañinos y cubrir su rastro modificando los registros de CloudTrail.

Ejemplo 1: El siguiente es un ejemplo de una ruta con la validación del archivo de registro deshabilitada configurando EnableLogFileValidation en false. La omisión de la propiedad da como resultado el valor predeterminado establecido en false también.


"myTrail": {
    "DependsOn": [
        "BucketPolicy"
    ],
    "Type": "AWS::CloudTrail::Trail",
    "Properties": {
        "S3BucketName": {
            "Ref": "S3Bucket"
        },
        "IsLogging": true,
        "EnableLogFileValidation": false
    }
}

References

[1] Amazon Web Services Validating CloudTrail log file integrity

[2] Amazon Web Services Security at Scale: Logging in AWS

[3] Standards Mapping - CIS Amazon Web Services Foundations Benchmark Recommendation 3.2

[4] Standards Mapping - Common Weakness Enumeration CWE ID 354

[5] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002450, CCI-002451

[6] Standards Mapping - FIPS200 MP

[7] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-13 Cryptographic Protection (P1)

[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-13 Cryptographic Protection

[10] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 12.2.1 File Integrity Requirements (L2 L3)

[12] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage

[13] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage

[14] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage

[15] Standards Mapping - OWASP Top 10 2017 A10 Insufficient Logging and Monitoring

[16] Standards Mapping - OWASP Top 10 2021 A09 Security Logging and Monitoring Failures

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 10.5.5

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 10.5.5

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 10.5.5

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 10.5.5

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 10.5.5

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 10.5.5

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 10.5.5

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 10.3.2

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 10.3.2

[26] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 494

[27] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 494

[28] Standards Mapping - SANS Top 25 2011 Risky Resource Management - CWE ID 494

[29] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3150.1 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3150.1 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3150.1 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3150.1 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3150.1 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3150.1 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3150.1 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[51] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authentication (WASC-01)

[52] Standards Mapping - Web Application Security Consortium 24 + 2 Insufficient Authentication

desc.structural.json.aws_cloudformation_misconfiguration_missing_cloudtrail_log_validation.base

Abstract

La plantilla define una ruta sin validación del archivo de registro.

Explanation

De forma predeterminada, la validación del archivo de registro de CloudTrail está deshabilitada, lo que evita que los investigadores afirmen que no ha habido manipulaciones externas en los archivos de registro de CloudTrail.

Resultado directo de esto es que un atacante con los privilegios necesarios puede realizar cambios de configuración dañinos y cubrir su rastro modificando los registros de CloudTrail.

Ejemplo 1: El siguiente es un ejemplo de una ruta con la validación del archivo de registro deshabilitada configurando EnableLogFileValidation en false. La omisión de la propiedad da como resultado que el valor predeterminado se establezca en false también.


myTrail:
  DependsOn:
    - BucketPolicy
  Type: AWS::CloudTrail::Trail
  Properties:
    S3BucketName:
      Ref: S3Bucket
      IsLogging: true
      EnableLogFileValidation: false