Date de publication : 23/01/2025 à 13 h 30 (heure du Pacifique)
Nous avons identifié le problème CVE-2025-0693 dans le flux de connexion pour Gestion des identités et des accès AWS (AWS IAM). Ce problème pouvait permettre à un acteur d’énumérer les noms d’utilisateur AWS IAM en mesurant les temps de réponse du serveur lors des tentatives de connexion. Les variations de ces temps de réponse pouvaient permettre à un acteur de déterminer si un nom d’utilisateur AWS IAM envoyé existait dans le compte.
Veuillez noter que les informations de nom d’utilisateur ne suffisent pas à elles seules pour authentifier ou accéder à des ressources AWS. L’authentification complète, y compris l’identifiant du compte, le nom d’utilisateur, le mot de passe et l’authentification multifactorielle (si activée), est requise pour accéder à un compte. En outre, AWS s’appuie sur plusieurs couches de protection pour surveiller les éventuelles utilisations malveillantes de nos points de terminaison de connexion et y répondre.
Versions concernées : flux de connexion IAM pour la connexion à AWS avant le 16 janvier 2025.
Résolution :
AWS a introduit un délai de réponse dans tous les scénarios d’échec d’authentification. Cette amélioration protège contre l’énumération des noms d’utilisateur valides en supprimant toute variation temporelle entre les noms d’utilisateur valides et non valides dans les réponses d’échec.
Aucune action n’est nécessaire de la part des clients. Les clients peuvent surveiller les activités de connexion, y compris les échecs et les réussites de connexion, à l’aide d’AWS CloudTrail. Pour plus d’informations, consultez la documentation de référence sur les événements CloudTrail.
Nous tenons à remercier Rhino Security Labs pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.
Références :
Envoyez un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.