首次发布日期:05/18/2023 10:00AM EST
一位安全研究人员最近报告了 Amazon GuardDuty 中的一个问题,该问题导致可以对不受屏蔽公共访问权限(BPA)保护的 S3 存储桶的策略进行更改,在不触发 GuardDuty 警报的情况下授予对该存储桶的公共访问权限。假使一条新策略中一条语句中包含对 "Principal::"*" 或 "Principal":"AWS":"*" 的“Allow”(使存储桶公开),另一条语句中包含对 "Action": "s3:GetBucketPublicAccessBlock" 的“Deny”,那么若在该新策略中更新 S3 存储桶策略,此问题就会发生,因为这种情况改变了所有调用者(包括 GuardDuty)检查存储桶配置的能力。使用推荐的 BPA 功能的客户不会受到此问题的影响,因为先前禁用 BPA 必须执行的步骤会触发不同的 GuardDuty 警报。
尽管此处公开记录了先前的 GuardDuty 检测标准和限制,但我们对研究人员关于改变这种行为的建议表示同意,并且自 2023 年 4 月 28 日起,我们已实施一项更改,在这种情况下仍提供 GuardDuty 警报。
我们要感谢 Gem Security 负责任地披露这个问题并与我们合作解决这个问题。
如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。