Fecha de la publicación: 11/06/2024 09:00 h PDT
AWS es consciente de los problemas descritos en CVE-2024-37293, relacionados con el marco de despliegue de AWS (ADF) de código abierto. Estos problemas afectan al proceso de arranque que se encarga de desplegar las pilas de arranque del ADF para facilitar los despliegues multicuenta entre regiones. El proceso de arranque del ADF depende de privilegios elevados para realizar esta tarea. Existen dos versiones del proceso de arranque: una canalización basada en cambios de código con AWS CodeBuild y una máquina de estados basada en eventos con AWS Lambda. Si un actor tiene permisos para cambiar el comportamiento del proyecto CodeBuild o de la función de Lambda, podría escalar sus privilegios. Hemos solucionado este problema en la versión 4.0 y posteriores. Recomendamos a los clientes que actualicen inmediatamente a la versión más reciente para garantizar la máxima protección.
Como medida de mitigación temporal, recomendamos agregar un límite de permisos a los roles creados por el ADF en la cuenta de administración. El límite de permisos debe denegar todas las acciones de IAM y STS. Este límite de permisos debe mantenerse hasta que actualice el ADF o arranque una nueva cuenta. Mientras el límite de permisos está activado, la administración y el arranque de cuentas no pueden crear, actualizar o asumir roles. Así se reduce el riesgo de escalada de privilegios, pero también se deshabilita la capacidad del ADF para crear, administrar y arrancar cuentas.
Nos gustaría dar las gracias a la Universidad de Xidian por revelar este problema a AWS de forma responsable.
Puede plantearnos preguntas o inquietudes relacionadas con la seguridad en aws-security@amazon.com.