Fecha de publicación inicial: 13/01/2022 13:00 h PST
Investigadores de seguridad identificaron y notificaron recientemente un problema en AWS CloudFormation. En concreto, el problema notificado se encontraba en el propio servicio AWS CloudFormation, que permitía ver algunos archivos de configuración locales en un alojamiento interno de AWS o intentar peticiones HTTP GET no autenticadas a partir del mismo alojamiento. Los investigadores utilizaron la capacidad HTTP GET para obtener un conjunto de credenciales accesibles localmente específicas del alojamiento. Ni el acceso al archivo de configuración local ni las credenciales específicas del alojamiento permitieron el acceso a los datos o recursos de los clientes.
AWS adoptó medidas inmediatas para corregir este problema en cuanto se notificó. Además, se constató que la técnica descrita por los investigadores no se pudo utilizar para acceder a los datos o recursos de los clientes. Mediante un análisis exhaustivo de los registros, se constató que la actividad de los investigadores se limitaba al alojamiento específico de AWS CloudFormation. Los clientes de AWS no se han visto afectados por este problema, por lo que no es necesario que tomen medidas.
Agradecemos a Orca Security por notificar este problema.
Puede plantearnos preguntas o dudas relacionadas con la seguridad a través de aws-security@amazon.com.