Data della prima pubblicazione: 25/04/2023 16:00 CET
Un ricercatore di sicurezza ha recentemente segnalato un problema con l'ultima versione del supporto di AWS (16 novembre 2022) riguardante diversi dispositivi di autenticazione a più fattori (MFA) per i principali utenti IAM. Il problema segnalato avrebbe potuto verificarsi solo se si fossero soddisfatte le seguenti tre condizioni: (1) un utente IAM era in possesso delle credenziali AK/SK (chiave di accesso a lungo termine/chiave segreta); (2) quell'utente IAM aveva il privilegio di aggiungere una MFA alla propria identità senza utilizzarla; (3) i privilegi di accesso complessivi dell'utente IAM oltre l'accesso alla console erano stati configurati da un amministratore per essere maggiori dopo l'aggiunta della MFA. In tali condizioni circoscritte, il solo possesso di AK/SK era equivalente al possesso di AK/SK e di una MFA precedentemente configurata.
Mentre gli utenti IAM, con facoltà di aggiungere o eliminare un dispositivo MFA associato alla propria identità, hanno sempre potuto farlo esclusivamente con le credenziali AK/SK, è sorto un problema quando la nuova funzionalità è stata combinata con l'autogestione degli utenti IAM dei propri dispositivi MFA, con accesso limitato prima dell’aggiunta di una MFA ad opera dell’utente. Questo modello di autogestione è stato documentato qui e quella pagina includeva un esempio di policy IAM per l'implementazione del modello. La combinazione della nuova funzionalità multi-MFA ha creato un'incongruenza con tale approccio. Data la nuova funzionalità, un utente con solo credenziali AK/SK poteva aggiungere un'ulteriore MFA senza utilizzarne una precedentemente configurata, permettendo così il solo possesso di AK/SK senza una MFA precedentemente configurata per ottenere potenzialmente un accesso più ampio di quanto previsto dai clienti utilizzatori della policy di esempio.
Questo problema non ha influito sull'accesso basato sulla Console di gestione AWS, poiché al momento dell'accesso è sempre richiesta una MFA esistente. Né ha influito sulle entità federate che gestiscono la MFA tramite il proprio provider di identità.
A partire dal 21 aprile 2023, il problema identificato è stato risolto richiedendo agli utenti IAM che dispongono già di una o più MFA, e che utilizzano le credenziali AK/SK per gestire i propri dispositivi MFA, di utilizzare anzitutto STS:getSessionToken e una MFA esistente per ottenere credenziali temporanee abilitate alla MFA per firmare i comandi CLI o le richieste API, prima di abilitare o disabilitare i dispositivi MFA per se stessi. Abbiamo avvisato direttamente un numero molto limitato di clienti, tramite la loro Personal Health Dashboard, che in precedenza avevano associato un dispositivo MFA aggiuntivo utilizzando un meccanismo diverso dalla Console di gestione AWS. Abbiamo consigliato ai clienti avvisati di confermare la correttezza delle loro configurazioni MFA. Non è necessaria alcuna azione aggiuntiva da parte del cliente.
Vorremmo ringraziare i ricercatori di MWR Cybersec per aver identificato e divulgato in modo responsabile questo problema ad AWS. È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.