Cloud Control Plane Attack
Что такое Cloud Control Plane Attack?
Cloud Control Plane AttackAn attack that targets the management API of a cloud provider (AWS, Azure, GCP) — IAM, billing, deployment APIs — rather than workloads, achieving tenant-wide impact through stolen tokens, federation abuse, or partner-channel compromises.
A cloud control-plane attack is one that targets the provider's management surface (sts:AssumeRole, AWS Organizations, Entra ID Graph, GCP Resource Manager, billing APIs, Identity Center, hub-and-spoke deployment tools) instead of the workloads running inside a tenant. Because every workload's permissions, every resource's existence, and the billing relationship itself live in the control plane, a control-plane compromise is unrecoverable from inside the tenant — the attacker can disable logging, exfiltrate keys, create persistent backdoor IAM users, modify Conditional Access, or move resources to other accounts. Documented techniques include long-lived access-key theft from developer laptops, Single-Sign-On compromise (the 2020 SolarWinds chain into Microsoft 365, the 2023 Storm-0558 Azure key forge), reseller-channel abuse (the 2024 Midnight Blizzard test-tenant pivot), federation/IdP trust manipulation (Golden SAML), and abuse of CI/CD identities with cloud admin trust (OIDC-to-cloud-role). Defenses focus on root-account isolation, FIDO2 phishing-resistant MFA on every break-glass identity, hardware-bound CI/CD trust, restrictive Conditional Access, immutable CloudTrail/Azure-Monitor to a separate tenant, and continuous control-plane anomaly detection.
● Примеры
- 01
Storm-0558 forged Azure AD signing tokens and read Exchange Online mailboxes across U.S. federal tenants in 2023 — a textbook control-plane compromise.
- 02
An attacker with a stolen long-lived AWS access key creates a new IAM user, attaches AdministratorAccess, and uses it from a different region to remain below GuardDuty thresholds.
● Частые вопросы
Что такое Cloud Control Plane Attack?
An attack that targets the management API of a cloud provider (AWS, Azure, GCP) — IAM, billing, deployment APIs — rather than workloads, achieving tenant-wide impact through stolen tokens, federation abuse, or partner-channel compromises. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Cloud Control Plane Attack?
An attack that targets the management API of a cloud provider (AWS, Azure, GCP) — IAM, billing, deployment APIs — rather than workloads, achieving tenant-wide impact through stolen tokens, federation abuse, or partner-channel compromises.
Как работает Cloud Control Plane Attack?
A cloud control-plane attack is one that targets the provider's management surface (sts:AssumeRole, AWS Organizations, Entra ID Graph, GCP Resource Manager, billing APIs, Identity Center, hub-and-spoke deployment tools) instead of the workloads running inside a tenant. Because every workload's permissions, every resource's existence, and the billing relationship itself live in the control plane, a control-plane compromise is unrecoverable from inside the tenant — the attacker can disable logging, exfiltrate keys, create persistent backdoor IAM users, modify Conditional Access, or move resources to other accounts. Documented techniques include long-lived access-key theft from developer laptops, Single-Sign-On compromise (the 2020 SolarWinds chain into Microsoft 365, the 2023 Storm-0558 Azure key forge), reseller-channel abuse (the 2024 Midnight Blizzard test-tenant pivot), federation/IdP trust manipulation (Golden SAML), and abuse of CI/CD identities with cloud admin trust (OIDC-to-cloud-role). Defenses focus on root-account isolation, FIDO2 phishing-resistant MFA on every break-glass identity, hardware-bound CI/CD trust, restrictive Conditional Access, immutable CloudTrail/Azure-Monitor to a separate tenant, and continuous control-plane anomaly detection.
Как защититься от Cloud Control Plane Attack?
Защита от Cloud Control Plane Attack обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cloud Control Plane Attack?
Распространённые альтернативные названия: Cloud management-plane attack, Tenant takeover.
● Связанные термины
- cloud-security№ 212
Кража облачных токенов
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
- cloud-security№ 562
Повышение привилегий IAM
Злоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
- identity-access№ 496
Golden SAML
An identity-attack technique that steals a federation IdP's token-signing private key (typically from AD FS) and forges arbitrary SAML responses, granting persistent, MFA-bypassing access to any federated service.
- attacks№ 1234
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- cloud-security№ 1142
Модель разделённой ответственности
Базовая концепция облачной безопасности, разделяющая обязанности между провайдером (безопасность самой облачной платформы) и клиентом (безопасность того, что в ней размещено).
- cloud-security№ 209
Неправильная настройка облака
Брешь в безопасности из-за некорректных или небезопасных настроек облачных сервисов: открытое хранилище, слабые IAM-политики, доступные порты управления и т. п.