Date de publication initiale : 13/01/2022 13 h 00 PST (heure du Pacifique)
Des chercheurs en sécurité ont récemment identifié et signalé un problème dans AWS CloudFormation. Plus précisément, le problème signalé concernait le service AWS CloudFormation lui-même, qui permettait de visualiser certains fichiers de configuration locaux sur un hôte interne à AWS ou de tenter des requêtes HTTP GET non authentifiées depuis le même hôte. Les chercheurs ont utilisé la fonction HTTP GET pour obtenir un ensemble d'informations d'identification accessibles localement et spécifiques à l'hôte. Ni l'accès au fichier de configuration local, ni les informations d'identification spécifiques à l'hôte n'ont permis d'accéder aux données ou aux ressources des clients.
AWS a pris des mesures immédiates pour corriger ce problème lorsqu'il a été signalé et vérifié que la technique décrite par les chercheurs ne pouvait pas être utilisée pour accéder aux données ou aux ressources des clients. Une analyse approfondie des journaux a permis de vérifier que l'activité des chercheurs s'est limitée à l'hôte AWS CloudFormation spécifique. Les clients d'AWS n'ont pas été affectés par ce problème signalé et aucune action n'est requise de leur part.
Nous tenons à remercier Orca Security pour le signalement de ce problème.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com.