Data di pubblicazione iniziale: 13/01/2022 13:00 PST
Gli esperti di sicurezza recentemente hanno riscontrato e segnalato un problema con AWS CloudFormation. Nello specifico, il problema segnalato riguardava il servizio AWS CloudFormation, che consentiva la visualizzazione di alcuni file di configurazione locali su un host interno di AWS o tentativi di richieste HTTP GET non autenticate dallo stesso host. Nell'ambito della loro indagine, gli esperti hanno potuto utilizzare la funzionalità HTTP GET per ottenere una serie di credenziali accessibili localmente specifiche per l'host. È stato confermato che né l'accesso al file di configurazione locale né le credenziali specifiche dell'host consentivano l'accesso a dati o risorse del cliente.
Una volta ricevuta la segnalazione del problema e verificato che la tecnica descritta dagli esperti non poteva essere utilizzata per accedere ai dati o alle risorse dei clienti, AWS ha intrapreso immediatamente azioni correttive. Un'analisi approfondita dei log ha verificato che la ricerca degli esperti era limitata all'host AWS CloudFormation specifico. Il problema in questione non ha interessato i clienti AWS, pertanto non sono richieste azioni da parte loro.
Vorremmo ringraziare Orca Security per aver segnalato questo problema.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.