Noviembre de 02, 2012
Los investigadores de seguridad reportaron una conducta incorrecta en los mecanismos de validación de certificados SSL de algunos kits de desarrollo de software (SDK) y las herramientas de aplicación de la interfaz de programación (API) mantenidas por AWS y terceros. Concretamente, los investigadores identificaron versiones de herramientas API de Elastic Cloud Compute (EC2), herramientas API de Elastic Load Balancing (ELB) y los SDK de Software de pago flexible (FPS) los cuales pueden realizar una validación incorrecta de los certificados SSL. La validación incorrecta de los certificados SSL reportados en la herramientas API de EC2 y ELB potencialmente podrían permitir a un tercero leer, pero no modificar exitosamente, solicitudes registradas de AWS REST/Query destinadas a garantizar (HTTPS) los puntos de enlace API de EC2 o ELB. Estos problemas no permiten que un atacante acceda a instancias del cliente o manipule datos del cliente. La validación incorrecta de los certificados SSL reportados en los SDK de FPS potencialmente podrían permitir a un atacante leer, pero no modificar exitosamente, solicitudes registradas de AWS API de FPS y también podrían tener impacto en aplicaciones comerciales que utilizan los SDK de Software Amazon Payments para verificar respuestas FPS para la verificación de notificaciones de pago instantáneo.
A fin de resolver estos problemas, AWS ha lanzado versiones actualizadas de las herramientas afectadas SDK y API, las cuales se pueden encontrar aquí:
Herramientas de API EC2
http://aws.amazon.com/developertools/351
Herramientas de API ELB
http://aws.amazon.com/developertools/2536
Actualizaciones de software Amazon Payments
EE.UU.: https://payments.amazon.com/sdui/sdui/about?nodeid=201033780
Reino Unido: https://payments.amazon.co.uk/help?nodeid=201033780
DE: https://payments.amazon.de/help?nodeid=201033780
AWS ha abordado problemas similares para herramientas adicionales SDK y API, liberando versiones actualizadas, las cuales se pueden encontrar aquí:
Boto
https://github.com/boto/boto
Herramientas de línea de comandos Auto Scaling
http://aws.amazon.com/developertools/2535
Herramientas de línea de comandos de AWS CloudFormation
http://aws.amazon.com/developertools/aws-cloudformation/2555753788650372
Proceso de arranque de aplicaciones mediante el uso de AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Herramienta de autenticación Amazon CloudFront para Curl
http://aws.amazon.com/developertools/cloudfront/1878
Herramienta de línea de comandos Amazon CloudWatch
http://aws.amazon.com/developertools/2534
Script de monitorización de Amazon CloudWatch para Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector para VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
Herramienta de línea de comandos AWS Elastic Beanstalk
http://aws.amazon.com/code/aws-elastic-beanstalk/6752709412171743
Conjunto de herramientas de línea de comandos Amazon ElastiCache
http://aws.amazon.com/developertools/amazon-elasticache/2310261897259567
Herramientas de línea de comandos Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
SDK de Amazon Mechanical Turk para NET
http://aws.amazon.com/code/sdks/923
SDK de Amazon Mechanical Turk para Perl
http://aws.amazon.com/code/sdks/922
Herramienta de autenticación Amazon Route 53 para Curl
http://aws.amazon.com/code/9706686376855511
Bibliotecas Ruby para Amazon Web Services
http://aws.amazon.com/code/sdks/793
Herramienta de la interfaz de línea de comando Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
Herramienta de autenticación Amazon S3 para Curl
http://aws.amazon.com/developertools/amazon-s3/128
Además de utilizar las últimas herramientas SDK y API de AWS, a los clientes se les recomienda actualizar las dependencias del software subyacente. Puede encontrar las versiones sugeridas para las dependencias del software subyacente en el archivo README en el paquete de herramientas SDK o CLI.
AWS continúa recomendando el uso de SSL para seguridad adicional y para evitar que las solicitudes AWS o sus respuestas sean vistas mientras están en tránsito. Las solicitudes registradas de AWS REST/Query mediante HTTP o HTTPS están protegidas de la modificaciones que puedan realizar terceros y el acceso API de MFA-protegido utilizando AWS Multi-Factor Authentication (MFA) ofrece una capa extra de seguridad en operaciones poderosas, tales como la culminación de las instancias Amazon EC2 o la lectura de datos sensibles almacenados en Amazon S3.
Para conocer más sobre las solicitudes registradas de AWS REST/Query, consulte:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Para conocer más sobre el acceso a API protegido por MFA, consulte:
http://docs.amazonwebservices.com/iam/latest/userguide/mfaprotectedapi.html
AWS desea agradecer a las siguientes personas por informar estos problemas y compartir nuestra pasión por la seguridad:
Martin Georgiev, Suman Jana y Vitaly Shmatikov de la Universidad de Texas en Austin
Subodh Iyengar, Rishita Anubhai y Dan Boneh de la Universidad de Stanford
La seguridad es nuestra prioridad principal. Seguimos comprometidos en ofrecer funciones, mecanismos y asistencia para que nuestros clientes logren una infraestructura AWS segura. Las preguntas o inquietudes relacionadas con la seguridad de AWS pueden ser respondidas en aws-security@amazon.com.