02 de novembro de 2012
Pesquisadores de segurança relataram comportamento incorreto nos mecanismos de validação de certificado SSL de alguns software development kits (SDKs) e ferramentas de interface de programação de aplicativos (API) mantidos pela AWS e por terceiros. Especificamente, os pesquisadores identificaram versões das ferramentas de API do Elastic Cloud Compute (EC2), das ferramentas de API do Elastic Load Balancing (ELB) e dos SDKs do Flexible Payments Software (FPS) que podem executar validação incorreta dos certificados SSL. A validação incorreta do certificado SSL relatada nas ferramentas da API EC2 e ELB pode permitir que um invasor intermediário leia, mas não modifique com êxito, as solicitações assinadas de REST / Query da AWS assinadas destinadas a endpoints de API EC2 ou ELB seguros (HTTPS). Esses problemas não permitem que um invasor acesse instâncias do cliente ou manipule dados do cliente. A validação incorreta do certificado SSL relatada nos SDKs do FPS pode permitir que um invasor leia, mas não modifique com êxito, solicitações AWS REST assinadas destinadas a endpoints de API FPS seguros (HTTPS) e também pode afetar os aplicativos comerciais que utilizam os SDKs do Amazon Payments Software para verifique as respostas do FPS à verificação da notificação de pagamento instantâneo.
Para resolver esses problemas, a AWS lançou versões atualizadas dos SDKs e ferramentas de API afetados, que podem ser encontrados aqui:
Ferramentas da API do EC2
http://aws.amazon.com/developertools/351
Ferramentas da API do ELB
http://aws.amazon.com/developertools/2536
Atualizações de software do Amazon Payments
US: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
UK: https://payments.amazon.co.uk/help?nodeId=201033780
DE: https://payments.amazon.de/help?nodeId=201033780
A AWS abordou problemas semelhantes para SDKs e ferramentas de API adicionais; lançando versões atualizadas, que podem ser encontradas aqui:
Boto
https://github.com/boto/boto
Ferramentas da linha de comandos do Auto Scaling
http://aws.amazon.com/developertools/2535
Ferramentas da linha de comando da AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
Inicialização de aplicativos usando AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Ferramenta de autenticação do Amazon CloudFront para Curl
http://aws.amazon.com/developertools/CloudFront/1878
Ferramenta de linha de comando do Amazon CloudWatch
http://aws.amazon.com/developertools/2534
Scripts de monitoramento do Amazon CloudWatch para Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector for VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
Ferramenta de linha de comando do AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Kit de ferramentas de linha de comando do Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Ferramentas de linha de comando do Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
Amazon Mechanical Turk SDK for .NET
http://aws.amazon.com/code/SDKs/923
Amazon Mechanical Turk SDK for Perl
http://aws.amazon.com/code/SDKs/922
Ferramenta de autenticação do Amazon Route 53 para Curl
http://aws.amazon.com/code/9706686376855511
Bibliotecas Ruby para Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Ferramenta de interface de linha de comando do Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
Ferramenta de autenticação do Amazon S3 para Curl
http://aws.amazon.com/developertools/Amazon-S3/128
Além de usar as mais recentes ferramentas de API e SDK da AWS, os clientes são encorajados a atualizar as dependências de software subjacentes. Versões sugeridas para dependências de software subjacentes podem ser encontradas no arquivo README do pacote de ferramentas SDK ou CLI.
A AWS continua recomendando o uso de SSL para segurança adicional e para proteger as solicitações da AWS ou suas respostas contra exibição em trânsito. As solicitações assinadas AWS REST/Query via HTTP ou HTTPS são protegidas contra modificações de terceiros, e o acesso à API protegido por MFA usando a AWS Multi-Factor Authentication (MFA) fornece uma camada extra de segurança em operações poderosas, como o encerramento de instâncias do Amazon EC2 ou lendo dados confidenciais armazenados no Amazon S3.
Para obter mais informações sobre como assinar solicitações AWS REST/Query, consulte:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Para mais informações sobre o acesso à API protegido por MFA, consulte:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
A AWS gostaria de agradecer às seguintes pessoas por relatar esses problemas e compartilhar nossa paixão pela segurança:
Martin Georgiev, Suman Jana e Vitaly Shmatikov, da Universidade do Texas em Austin
Subodh Iyengar, Rishita Anubhai e Dan Boneh, da Universidade de Stanford
A segurança é nossa principal prioridade. Continuamos comprometidos em fornecer recursos, mecanismos e assistência para que nossos clientes obtenham uma infraestrutura segura da AWS. As questões ou preocupações relacionadas à segurança da AWS podem ser levadas ao nosso conhecimento via aws-security@amazon.com.