Data di pubblicazione iniziale: 13/01/2022 13:00 PDT
I ricercatori nel campo della sicurezza hanno recentemente segnalato un problema che ha permesso loro di agire come servizio AWS Glue. Utilizzando una caratteristica di AWS Glue, i ricercatori hanno ottenuto credenziali specifiche per il servizio stesso e una configurazione errata interna di AWS ha permesso ai ricercatori di utilizzare queste credenziali come servizio AWS Glue. Questa funzione non poteva in nessun modo essere utilizzata per nuocere ai clienti che non usano il servizio AWS Glue.
Pertanto non è necessaria alcuna azione da parte del cliente.
AWS ha immediatamente preso le misure necessarie per correggere questo problema non appena è stato segnalato. L'analisi dei registri che risalgono all'avvio del servizio è stata condotta e abbiamo determinato con sicurezza che l'unica attività associata a questo problema riguardava gli account di proprietà del ricercatore. Nessun account di altri clienti è stato interessato. Tutte le azioni intraprese da AWS Glue nell’account di un cliente sono nei registri di CloudTrail controllati e visualizzabili dal cliente.
Vorremmo ringraziare Orca Security per aver segnalato questo problema.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.