Datum der Erstveröffentlichung: 18.05.2023 10:00 Uhr EST
Ein Sicherheitsexperte meldete kürzlich ein Problem in Amazon GuardDuty, bei dem eine Änderung der Richtlinie eines S3-Buckets, das nicht durch Block Public Access (BPA) geschützt ist, durchgeführt werden konnte, um öffentlichen Zugriff auf den Bucket zu gewähren, ohne einen GuardDuty-Alarm auszulösen. Dieses spezielle Problem trat auf, wenn die S3-Bucket-Richtlinie innerhalb einer einzigen neuen Richtlinie aktualisiert wurde, die sowohl ein „Allow“ für „Principal“::„*“ oder „Principal“:„AWS“:„*“ in einer Anweisung (wodurch der Bucket öffentlich wird) enthielt als auch ein „Deny“ für „Action“: „s3:GetBucketPublicAccessBlock“ in einer anderen Anweisung, was die Fähigkeit aller Aufrufer (einschließlich GuardDuty), die Bucket-Konfiguration zu überprüfen, veränderte. Kunden, die die empfohlene BPA-Funktion verwenden, wären von diesem Problem nicht betroffen gewesen, da der erforderliche vorherige Schritt der Deaktivierung von BPA einen anderen GuardDuty-Alarm ausgelöst hätte.
Die bisherigen Erkennungskriterien und Beschränkungen von GuardDuty wurden hier zwar öffentlich dokumentiert, aber wir stimmten der Empfehlung des Experten zu, dieses Verhalten zu ändern, und haben mit Stand vom 28. April 2023 eine Änderung vorgenommen, sodass in diesem Fall weiterhin eine GuardDuty-Warnung ausgegeben wird.
Wir möchten Gem Security dafür danken, dass sie dieses Problem verantwortungsbewusst offengelegt und mit uns an seiner Lösung gearbeitet haben.
Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.