Date de publication initiale : 18/05/2023 10 h 00 (heure normale de l'Est)
Un chercheur en sécurité a récemment signalé un problème dans Amazon GuardDuty : une modification de la politique d'un compartiment S3 non protégé par blocage de l'accès public (BPA, Block Public Access) peut être effectuée pour accorder un accès public au compartiment sans déclencher d'alerte GuardDuty. Ce problème spécifique survient si la politique relative aux compartiments S3 est mise à jour dans le cadre d'une nouvelle politique unique qui inclut un "Allow" pour "Principal::"*" ou "Principal":"AWS":"*" dans une déclaration (ce qui rend le compartiment public) et un "Deny" pour "Action": "s3:GetBucketPublicAccessBlock" dans une autre, ce qui modifie la capacité de tous les appelants (y compris GuardDuty) à vérifier la configuration du compartiment. Les clients recourant à la fonctionnalité BPA recommandée ne sont pas concernés par ce problème, car l'étape précédente de désactivation du BPA déclenche une alerte GuardDuty différente.
Bien que les critères antérieurs de détection de GuardDuty et leurs limites aient été publiquement documentés ici, nous avons suivi la recommandation du chercheur de modifier ce comportement et, à compter du 28 avril 2023, nous avons mis en œuvre des modifications afin de générer un message d'alerte GuardDuty dans un tel cas.
Nous tenons à remercier Gem Security pour la divulgation responsable de ce problème et pour sa collaboration à sa résolution.
Les questions ou préoccupations liées à la sécurité peuvent nous être adressées à l'adresse suivante : aws-security@amazon.com.