Datum/Zeit der Erstveröffentlichung: 13.1.2022 13:00 PST
Sicherheitsforscher haben kürzlich ein Problem bei AWS CloudFormation identifiziert und gemeldet. Das gemeldete Problem betraf insbesondere den AWS-CloudFormation-Service selbst, der die Anzeige einiger lokaler Konfigurationsdateien auf einem AWS-internen Host ermöglichte oder nicht authentifizierte HTTP-GET-Anfragen von demselben Host versuchte. Die Forscher nutzten die HTTP-GET-Fähigkeit, um eine Reihe von lokal zugänglichen Anmeldedaten zu erhalten, die für den Host spezifisch sind. Weder der Zugriff auf die lokale Konfigurationsdatei noch die hostspezifischen Anmeldedaten erlaubten den Zugriff auf Kundendaten oder -ressourcen.
AWS hat sofort Maßnahmen ergriffen, um dieses Problem zu beheben, als es gemeldet wurde, und hat überprüft, dass die von den Forschern beschriebene Technik nicht für den Zugriff auf Kundendaten oder -ressourcen verwendet werden konnte. Eine umfassende Protokollanalyse hat ergeben, dass die Aktivitäten der Forscher auf den spezifischen AWS-CloudFormation-Host beschränkt waren. AWS-Kunden waren von diesem gemeldeten Problem nicht betroffen, und es sind keine Maßnahmen von Kundenseite erforderlich.
Wir möchten Orca Security für die Meldung dieses Problems danken.
Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an aws-security@amazon.com.