Veröffentlichungsdatum: 11.06.2024, 09:00 Uhr PDT
AWS ist sich der in CVE-2024-37293 beschriebenen Probleme im Zusammenhang mit dem Open-Source-Framework AWS Deployment Framework (ADF) bewusst. Diese Probleme wirken sich auf den Bootstrap-Prozess aus, der für die Bereitstellung der Bootstrap-Stacks von ADF verantwortlich ist, um regionsübergreifende Bereitstellungen mit mehreren Konten zu ermöglichen. Der ADF-Bootstrap-Prozess benötigt erweiterte Rechte, um diese Aufgabe auszuführen. Es gibt zwei Versionen des Bootstrap-Prozesses: eine durch Codeänderungen gesteuerte Pipeline mit AWS CodeBuild und eine ereignisgesteuerte Zustandsmaschine mit AWS Lambda. Wenn ein Akteur berechtigt ist, das Verhalten des CodeBuild-Projekts oder der Lambda-Funktion zu ändern, kann er seine Rechte erweitern. Wir haben dieses Problem in Version 4.0 und höher behoben. Wir empfehlen Kunden, sofort auf die neueste Version zu aktualisieren, um einen umfassenden Schutz zu gewährleisten.
Als vorübergehende Abhilfemaßnahme empfehlen wir, den von ADF im Verwaltungskonto erstellten Rollen eine Berechtigungsgrenze hinzuzufügen. Die Berechtigungsgrenze sollte alle IAM- und STS-Aktionen verweigern. Diese Berechtigungsgrenze sollte so lange bestehen bleiben, bis Sie ADF aktualisieren oder ein neues Konto bootstrappen. Solange die Berechtigungsgrenze besteht, können die Kontoverwaltung und das Bootstrapping von Konten keine Rollen erstellen, aktualisieren oder übernehmen. Dies mindert das Risiko einer Rechteeskalation, verhindert aber auch die Fähigkeit von ADF, Konten zu erstellen, zu verwalten und zu bootstrappen.
Wir möchten der Xidian University dafür danken, dass sie dieses Problem verantwortungsbewusst an AWS weitergegeben hat.
Bei Fragen oder Bedenken zum Thema Sicherheit schreiben Sie uns an aws-security@amazon.com.