Fecha de publicación inicial: 18/05/2023 10:00 h EST
Un investigador de seguridad recientemente informó sobre un problema en Amazon GuardDuty por el que se podía realizar un cambio en la política de un bucket de S3 no protegido por el Bloqueo de acceso público (BPA) para conceder el acceso público al bucket sin activar una alerta de GuardDuty. Este problema específico se produciría si la política de bucket de S3 se actualizara dentro de una sola política nueva que incluyera tanto un "Allow" (Permitir) para "Principal::"*" (Principal) o "Principal":AWS":"*" (Principal:AWS) en una declaración (lo que hace público el bucket) y también un "Deny" (Denegar) para "Action": (Acción) "s3:GetBucketPublicAccessBlock en otra, lo que alteraba la capacidad de todos los usuarios (incluido GuardDuty) de comprobar la configuración del bucket. Los clientes que utilizan la función de BPA recomendada no se habrían visto afectados por este problema, ya que el paso previo obligatorio para deshabilitar el BPA habría provocado una alerta de GuardDuty diferente.
Si bien los criterios de detección y la limitación anteriores de GuardDuty se documentaron públicamente aquí, estuvimos de acuerdo con la recomendación del investigador de modificar este comportamiento y, a partir del 28 de abril de 2023, hemos implementado un cambio para seguir proporcionando una alerta de GuardDuty en este caso.
Nos gustaría agradecer a Gem Security por revelar este problema de manera responsable y por trabajar con nosotros para resolverlo.
Puede plantearnos preguntas o dudas relacionadas con la seguridad a través de aws-security@amazon.com.