2012년 11월 2일
보안 연구자들은 AWS 및 타사에서 유지 관리하는 일부 SDK(소프트웨어 개발 키트) 및 API(Application Programming Interface) 도구의 SSL 인증서 검증 메커니즘에서 잘못된 동작을 보고하였습니다. 특히, 연구자들은 SSL 인증서의 잘못된 검증을 수행할 수 있는 Elastic Cloud Compute(EC2) API 도구, Elastic Load Balancing(ELB) API 도구 및 FPS(Flexible Payments Software) SDK의 버전도 확인했습니다. EC2 및 ELB API 도구에서 보고된 잘못된 SSL 인증서 검증으로 인해 잠재적으로 중간자 공격자가 보안 HTTPS EC2 또는 ELB API 엔드포인트를 위해 서명된 AWS REST/쿼리 요청을 읽을 수 있습니다. 하지만, 이를 수정할 수는 없습니다. 이 문제가 발생해도 공격자는 고객 인스턴스에 액세스하거나 고객 데이터를 조작할 수 없습니다. FPS SDK에 보고된 잘못된 SSL 인증서 검증으로 인해 잠재적으로 공격자가 보안 HTTPS FPS API 엔드포인트를 위해 서명된 AWS REST 요청을 읽을 수 있습니다. 하지만, 이를 수정할 수는 없습니다. 또한 즉각적인 결제 알림 검증에 대한 FPS 응답을 검증하기 위해 Amazon Payments 소프트웨어 SDK를 활용하는 판매자 애플리케이션에 영향을 줄 수 있습니다.
이 문제를 처리하기 위해 AWS는 영향을 받는 SDK 및 API 도구의 업데이트 버전을 발표했습니다. 이는 다음에서 제공합니다.
EC2 API 도구
http://aws.amazon.com/developertools/351
ELB API 도구
http://aws.amazon.com/developertools/2536
Amazon Payments 소프트웨어 업데이트
미국: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
영국: https://payments.amazon.co.uk/help?nodeId=201033780
독일: https://payments.amazon.de/help?nodeId=201033780
AWS는 추가 SDK 및 API 도구에서 유사한 문제를 해결했으며, 업데이트된 버전을 발표했습니다. 이는 다음에서 제공합니다.
Boto
https://github.com/boto/boto
Auto Scaling 명령줄 도구
http://aws.amazon.com/developertools/2535
AWS CloudFormation 명령줄 도구
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
AWS CloudFormation을 사용하여 애플리케이션 부트스트랩
http://aws.amazon.com/developertools/4026240853893296
Curl용 Amazon CloudFront 인증 도구
http://aws.amazon.com/developertools/CloudFront/1878
Amazon CloudWatch 명령줄 도구
http://aws.amazon.com/developertools/2534
Linux용 Amazon CloudWatch 모니터링 스크립트
http://aws.amazon.com/code/8720044071969977
VMware vCenter용 Amazon EC2 VM Import Connector
http://aws.amazon.com/developertools/2759763385083070
AWS Elastic Beanstalk 명령줄 도구
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Amazon ElastiCache 명령줄 툴킷
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Amazon Mechanical Turk 명령줄 도구
http://aws.amazon.com/developertools/694
.NET용 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/923
Perl용 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/922
Curl용 Amazon Route 53 인증 도구
http://aws.amazon.com/code/9706686376855511
Amazon Web Services용 Ruby 라이브러리
http://aws.amazon.com/code/SDKs/793
Amazon Simple Notification Service 명령줄 인터페이스 도구
http://aws.amazon.com/developertools/3688
Curl용 Amazon S3 인증 도구
http://aws.amazon.com/developertools/Amazon-S3/128
최신 AWS SDK 및 API 도구 사용 외에도 고객은 기본 소프트웨어 종속성을 업데이트하도록 권장됩니다. 기본 소프트웨어 종속성에 대한 제안된 버전은 SDK 또는 CLI 도구 패키지의 README 파일에서 찾을 수 있습니다.
AWS는 추가 보안을 위해 지속적으로 SSL의 사용을 권장하며, 전송 중 AWS 요청이나 응답을 볼 수 없도록 보호합니다. HTTP 또는 HTTPS를 통한 서명된 AWS REST/쿼리 요청은 제3자가 수정하지 못하도록 보호되며, AWS Multi-Factor Authentication(MFA)을 사용하여 MFA로 보호되는 API 액세스는 Amazon EC2 인스턴스 종료 또는 Amazon S3에 저장된 민감한 데이터 읽기와 같은 강력한 작업에 대한 추가 보안 계층을 제공합니다.
AWS REST/쿼리 요청 서명에 대한 자세한 내용은 다음을 참조하십시오.
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
MFA 보호 API 액세스에 대한 자세한 내용은 다음을 참조하십시오.
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS는 이 문제를 보고하고 보안을 중요시하는 AWS의 열정을 함께 공유해준 다음 분들께 감사의 뜻을 전합니다.
오스틴 소재 텍사스 대학교의 Martin Georgiev, Suman Jana 씨와 Vitaly Shmatikov 씨
스탠포드 대학교의 Subodh Iyengar 씨, Rishita Anubhai 씨 및 Dan Boneh 씨
AWS는 보안을 가장 중요하게 생각합니다. AWS는 고객이 안전한 AWS 인프라를 구현할 수 있도록 기능, 메커니즘 및 지원을 계속 제공할 것을 약속합니다. AWS 보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 제출할 수 있습니다.