发布日期:2025 年 1 月 23 日下午 1:30(太平洋夏令时)
我们在 AWS Identity and Access Management(AWS IAM)登录流中发现了 CVE-2025-0693。此问题可能允许参与者通过测量登录尝试期间的服务器响应时间来枚举 AWS IAM 用户名。这些响应时间的变化可以让参与者辨别账户中是否存在提交的 AWS IAM 用户名。
请注意,仅用户名信息不足以验证或访问任何 AWS 资源。访问账户需要进行全面身份验证,包括账户标识符、用户名、密码和多重身份验证(如果已启用)。此外,AWS 利用多层保护来监控并响应对登录端点的潜在滥用。
受影响的版本:2025 年 1 月 16 日之前的 AWS 登录 IAM 用户登录流。
解决方法:
AWS 在所有身份验证失败场景中都引入了响应时间延迟。此增强功能通过消除故障响应中有效和无效用户名之间的任何时间差异,来防止有效的用户名枚举。
无需客户操作。客户可以使用 AWS CloudTrail 监控登录活动,包括失败和成功的登录事件。有关更多信息,请参阅 CloudTrail 事件参考文档。
我们要感谢 Rhino Security Labs 通过协调漏洞披露流程针对这个问题进行的合作。
参考:
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。