4 de junio de 2011
Cuando se utilizan las Imágenes de Amazon Machine (AMI), es importante recordar aplicar las precauciones adecuadas para asegurarse de que las credenciales importantes no se dejen de forma involuntaria en las AMI cuando se comparten públicamente. Recientemente hemos tomado conocimiento de algunas situaciones en las que los clientes crearon y compartieron credenciales de forma pública sin darse cuenta.
En aquellos casos en los que AWS tomó conocimiento de clientes que habían expuesto involuntariamente credenciales de acceso de AWS o de terceros dentro de una AMI creada y compartida de forma pública, AWS contactó a dichos clientes y les sugirió que establecieran esa AMI asociada como privada y que, de inmediato, cambiaran las credenciales expuestas. En aquellos casos en los que no se pudo contactar a los clientes afectados de forma inmediata, AWS estableció como privadas dichas AMI asociadas en nombre del cliente a fin de evitar más exposición de sus credenciales de acceso personales de AWS y de terceros.
En aquellos casos en los que AWS tomó conocimiento de que una AMI pública contenía una clave pública SecureShell (SSH) preinstalada, que efectivamente permite que el publicador de la AMI acceda de forma remota a cualquier instancia en ejecución de dicha AMI, AWS contactó al publicador de la AMI y le solicitó que estableciera la AMI asociada como privada. En aquellos casos en los que no se pudo contactar al publicador de la AMI de forma inmediata o este no cumplió con rapidez la solicitud de establecer la AMI asociada como privada, AWS hizo esto último con el fin de proteger a los clientes. Además, se notificó a todos los clientes identificados que ejecutaban instancias de la AMI afectada y se les sugirió eliminar la clave SSH pública preinstalada ofensiva, y así bloquear de manera efectiva el acceso remoto del publicador de la AMI. También se sugirió a los clientes que ejecutaban instancias de las AMI afectadas a que hicieran copias de seguridad de los datos existentes y migraran a una AMI más nueva, si tenían alguna disponible.
No hemos recibido ningún informe de que estas vulnerabilidades se hayan atacado activamente. El objetivo de este documento es recordar a los usuarios que es extremadamente importante buscar con cuidado cualquier credencial importante de una AMI y eliminarla antes de hacerla disponible de forma pública. El objetivo de este documento es recordar a los usuarios que es extremadamente importante buscar con cuidado cualquier credencial importante de una AMI y eliminarla antes de hacerla disponible de forma pública. Puede encontrar un tutorial acerca de cómo compartir y usar AMI públicas aquí: http://aws.amazon.com/articles/0155828273219400
Puede encontrar más directrices acerca de cómo compartir AMI de forma segura aquí: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
Seguir estas directrices permite tener una mejor experiencia de usuario, ayuda a asegurarse de que las instancias del usuario sean seguras y posibilita proteger al publicador de la AMI.
Los clientes deben informar a la Seguridad de AWS cualquier preocupación de seguridad asociada con una AMI pública a través del siguiente email: aws-security@amazon.com