聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
云安全公司 Datadog 安全实验室解释称,攻击者可利用该AWS AppSync 服务在其它 AWS 账户中承担身份和访问管理 (IAM) 角色,获得这些账户中的资源。该Appsync 服务可使开发人员创建 GraphQL 和 Pub/Sub API,每种都具有相关的数据资源,并直接调用AWS API,创建AWS 服务集成,通过IAM权限定义角色。
该漏洞是“混淆代理问题”,原因是它允许权限稍低的实体(攻击者)诱骗权限更高的实体 (AppSync) 以其名义执行具体操作。
为阻止此类攻击,在创建数据来源的过程中,AWS验证针对AWS账户的该角色的唯一标志符 Amazon 资源名称 (ARN)。如果两者不匹配,则API 会显示错误。研究人员发现在验证过程中,“API将接受使用混合案例属性的 JSON payload”。该ARN 在serviceRoleARN 参数中传递,可用于绕过该验证流程。在本质上,该机制可使研究员“在不同的AWS账户中提供角色的 ARN”。
研究人员指出,“通过绕过ARN验证,我们能够在其它AWS账户中创建和角色相关联的AppSync 数据来源。这就可使攻击者与角色相关联的任何资源交互,信任任何账户中的 AWS AppSec 服务。”
研究人员表示,该漏洞可被用于创建指向其它AWS账户中的 AppSync API 数据来源,本质是在这些账户中访问数据。研究员已在9月1日将问题告知AWS,后者在9月6日推出补丁。
本周,AWS发布安全公告表示,该漏洞本可悲滥用于绕过 AppSync 的跨账户角色用途验证并访问其它客户账户中的资源。AWS提到,“任何客户均未受到该漏洞影响,无需采取任何操作。目前已分析自服务发布之日的日志,我们认为与该问题相关联的唯一一起活动发生在研究人员所控制的账户之间。其它客户账户并未受影响。”
https://www.securityweek.com/cross-tenant-aws-vulnerability-exposed-account-resources
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
原文始发于微信公众号(代码卫士):多租户AWS漏洞暴露账户资源
