Fecha de publicación inicial: 13/01/2022 13:00 h PST
Un investigador de seguridad notificó recientemente un problema que permitía realizar acciones como el servicio AWS Glue. Al utilizar una característica de AWS Glue, los investigadores obtuvieron credenciales específicas del propio servicio, y un error de configuración interno de AWS permitió a los investigadores utilizar estas credenciales como el servicio AWS Glue. No hay manera de que esto se haya utilizado para afectar a los clientes que no utilizan el servicio AWS Glue.
No se requiere ninguna acción por parte del cliente.
AWS actuó inmediatamente para corregir este problema en cuanto fue notificado. Se realizaron análisis de los registros que se remontan al lanzamiento del servicio y se determinó de manera concluyente que la única actividad asociada a este problema se produjo entre las cuentas propiedad del investigador. Las cuentas de otros clientes no se vieron afectadas. Todas las acciones realizadas por AWS Glue en la cuenta de un cliente se registran en registros de CloudTrail controlados y visibles por los clientes.
Agradecemos a Orca Security por notificar este problema.
Puede plantearnos preguntas o dudas relacionadas con la seguridad a través de aws-security@amazon.com.