Passer au contenu principal

Problème avec le flux de connexion utilisateur IAM pour la connexion à AWS – Énumération possible de noms d’utilisateur (CVE-2025-0693)

Champ d'application : AWS
Type de contenu : informatif
Date de publication : 23/01/2025 à 13h30 PDT

Nous avons identifié le problème CVE-2025-0693 dans le flux de connexion pour Gestion des identités et des accès AWS (AWS IAM). Ce problème pouvait permettre à un acteur d’énumérer les noms d’utilisateur AWS IAM en mesurant les temps de réponse du serveur lors des tentatives de connexion. Les variations de ces temps de réponse pouvaient permettre à un acteur de déterminer si un nom d’utilisateur AWS IAM envoyé existait dans le compte.

Veuillez noter que les informations de nom d’utilisateur ne suffisent pas à elles seules pour authentifier ou accéder à des ressources AWS. L’authentification complète, y compris l’identifiant du compte, le nom d’utilisateur, le mot de passe et l’authentification multifactorielle (si activée), est requise pour accéder à un compte. En outre, AWS s’appuie sur plusieurs couches de protection pour surveiller les éventuelles utilisations malveillantes de nos points de terminaison de connexion et y répondre.

Versions concernées : flux de connexion des utilisateurs AWS Sign-in IAM avant le 16 janvier 2025.

Résolution :

AWS a introduit un délai de réponse dans tous les scénarios d’échec d’authentification. Cette amélioration protège contre l’énumération des noms d’utilisateur valides en supprimant toute variation temporelle entre les noms d’utilisateur valides et non valides dans les réponses d’échec.

Aucune action n’est nécessaire de la part des clients. Les clients peuvent surveiller les activités de connexion, y compris les échecs et les réussites de connexion, à l’aide d’AWS CloudTrail. Pour plus d'informations, consultez la documentation CloudTrail Event Reference.

Nous tenons à remercier Rhino Security Labs pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Références :

Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.