Veröffentlichungsdatum: 23.01.2025, 13:30 Uhr PDT
Im Anmeldeablauf des AWS Identity and Access Managements (AWS IAM) wurde CVE-2025-0693 identifziert. Dieses Problem könnte es einem Akteur ermöglichen, eine Enumeration von AWS-IAM-Benutzernamen vorzunehmen, indem er die Serverantwortzeiten bei Anmeldeversuchen misst. Variationen dieser Antwortzeiten könnten es einem Akteur ermöglichen, zu erkennen, ob ein übermittelter AWS-IAM-Benutzername in dem Konto existiert.
Bitte beachten Sie, dass Informationen zum Benutzernamen allein nicht ausreichen, um eine Authentifizierung bei AWS-Ressourcen durchzuführen oder auf sie zuzugreifen. Für den Zugriff auf ein Konto ist eine vollständige Authentifizierung erforderlich, einschließlich Kontokennzeichnung, Benutzername, Passwort und Multi-Faktor-Authentifizierung (falls aktiviert). Darüber hinaus nutzt AWS mehrere Schutzebenen, um potenziellen Missbrauch der Anmeldeendpunkte zu überwachen und darauf zu reagieren.
Betroffene Versionen: Ablauf der IAM-Benutzeranmeldung bei der AWS-Anmeldung vor dem 16. Januar 2025.
Lösung:
AWS führte in allen Szenarien mit Authentifizierungsfehlern eine Verzögerung der Reaktionszeiten ein. Diese Verbesserung schützt vor der Enumeration gültiger Benutzernamen, indem alle Zeitunterschiede zwischen gültigen und ungültigen Benutzernamen in Fehlerantworten entfernt werden.
Vonseiten des Kunden besteht kein Handlungsbedarf. Kunden können die Anmeldeaktivitäten, einschließlich fehlgeschlagener und erfolgreicher Anmeldeereignisse, mithilfe von AWS CloudTrail überwachen. Weitere Informationen finden Sie in der Dokumentation zur CloudTrail-Ereignisreferenz.
Wir möchten Rhino Security Labs für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
Referenzen:
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.