Date de publication : 11/06/2024, 09 h 00 (heure du Pacifique)
AWS a conscience des problèmes décrits dans le document CVE-2024-37293, concernant le framework de déploiement open source AWS (ADF). Ces problèmes affectent le processus d’amorçage responsable du déploiement des piles d’amorçage d’ADF et qui vise à faciliter les déploiements multicomptes entre régions. Le processus d’amorçage ADF repose sur des privilèges élevés pour effectuer cette tâche. Il existe deux versions du processus d’amorçage : un pipeline piloté par changement de code utilisant AWS CodeBuild et une machine d’état pilotée par des événements utilisant AWS Lambda. Si un acteur est autorisé à modifier le comportement du projet CodeBuild ou de la fonction Lambda, il peut augmenter ses privilèges. Nous avons résolu ce problème dans la version 4.0 et les versions ultérieures. Nous recommandons aux clients d’effectuer immédiatement une mise à niveau vers la version la plus récente afin de garantir une protection optimale.
À titre d’atténuation temporaire, nous vous recommandons d’ajouter une limite des autorisations aux rôles créés par ADF dans le compte de gestion. La limite des autorisations doit interdire toutes les actions IAM et STS. Cette limite des autorisations doit rester en place jusqu’à la mise à jour d’ADF ou l’amorçage d’un nouveau compte. Tant que la limite des autorisations est en place, la gestion des comptes et l’amorçage des comptes ne peuvent pas créer, mettre à jour ou endosser de rôles. Cela atténue le risque d’augmentation des privilèges, mais désactive également la capacité d’ADF à créer, gérer et amorcer des comptes.
Nous tenons à remercier l’université de Xidian d’avoir divulgué ce problème de manière responsable à AWS.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention à l’adresse aws-security@amazon.com.