首次发布日期:04/25/2023 10:00AM EST
一位安全研究人员于近期报告了 AWS 最近发布(2022 年 11 月 16 日)的 IAM 用户主体对多重身份验证(MFA)设备的支持存在问题。报告的问题可能仅在满足以下三个条件时出现:(1) IAM 用户拥有长期访问密钥(AK)/秘密密钥(SK)凭证,(2) 该 IAM 用户有权在不使用 MFA 的情况下将 MFA 添加到自己的身份,以及 (3) 添加 MFA 之后,管理员扩大了 IAM 用户除控制台登录之外的总体访问权限。在这些限制性条件下,仅拥有 AK/SK 就相当于同时拥有 AK/SK 和先前配置的 MFA。
虽然能够添加或删除与自己身份关联的 MFA 设备的 IAM 用户一直仅可使用 AK/SK 凭证进行操作,但如果新功能与 IAM 用户对自有 MFA 设备的自我管理相结合,并且在用户添加 MFA 之前限制访问,就会出现问题。此处记录了这种自我管理模式,该页面包含用于实现该模式的示例 IAM policy。新的多 MFA 功能组合造成与这种方法不一致的情况。由于这项新功能,仅拥有 AK/SK 凭证的用户可以在不使用先前配置的 MFA 的情况下添加额外的 MFA,从而可在没有先前配置的 MFA 的情况下单独拥有 AK/SK,并且有可能获得比使用示例策略的客户预期更广泛的访问权限。
此问题并未影响基于 AWS 管理控制台的访问,因为登录时始终需要现有的 MFA。此外,也没有影响通过身份提供商管理 MFA 的联合主体。
自 2023 年 4 月 21 日起,我们已修复此发现的问题,方法是要求已经拥有一个或多个 MFA 并使用 AK/SK 凭证管理自有 MFA 设备的 IAM 用户首先使用 sts:GetSessionToken 和现有 MFA 获取支持 MFA 的临时凭证,以在为自己启用或禁用 MFA 设备之前签署其 CLI 命令或 API 请求。我们已经通过 Personal Health Dashboard 直接通知了极少数客户,这些客户之前曾使用 AWS 管理控制台以外的机制关联额外的 MFA 设备。我们建议收到通知的客户确认其 MFA 配置的正确性。客户无需执行进一步操作。
我们要感谢 MWR Cybersec 的研究人员发现并负责任地向 AWS 披露了此问题。如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。