Fecha de publicación: 23/01/2025 13:30 h PDT
Hemos identificado la vulnerabilidad CVE-2025-0693 en el flujo de inicio de sesión de AWS Identity and Access Management (AWS IAM). Este problema podría permitir a un intruso enumerar los nombres de usuario de AWS IAM midiendo los tiempos de respuesta del servidor durante los intentos de inicio de sesión. Las variaciones en esos tiempos de respuesta podrían permitir a un intruso discernir si un nombre de usuario de AWS IAM enviado existía en la cuenta.
Tenga en cuenta que la información del nombre de usuario por sí sola es insuficiente para autenticar o acceder a cualquier recurso de AWS. Para acceder a una cuenta es necesaria una autenticación completa, que incluya identificador de cuenta, nombre de usuario, contraseña y autenticación multifactor (si está habilitada). Además, AWS utiliza varias capas de protección para supervisar y responder al posible uso indebido de nuestros puntos de enlace de inicio de sesión.
Versiones afectadas: flujo de inicio de sesión de usuario de IAM de AWS Sign-in anterior al 16 de enero de 2025.
Resolución:
AWS introdujo un retraso en los tiempos de respuesta en todos los escenarios de fallo de autenticación. Esta mejora protege contra la enumeración de nombres de usuario válidos eliminando cualquier variación temporal entre nombres de usuario válidos e inválidos en las respuestas de error.
No se requiere ninguna acción por parte del cliente. Los clientes pueden supervisar la actividad de inicio de sesión, incluidos los eventos fallidos y correctos de inicio de sesión, mediante AWS CloudTrail. Para más información, consulte la documentación sobre referencia de los eventos de CloudTrail.
Nos gustaría dar las gracias a Rhino Security Labs por colaborar en este asunto a través del proceso coordinado de divulgación de vulnerabilidades.
Referencias:
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.