Data della prima pubblicazione: 18/05/2023 16:00 CET
Un ricercatore di sicurezza ha recentemente segnalato un problema in Amazon GuardDuty in cui è possibile apportare una modifica alla policy di un bucket S3 non protetto da un Block Public Access (BPA) per concedere l'accesso pubblico al bucket, senza attivare un avviso di GuardDuty. Questo problema specifico si verifica se la policy del bucket S3 è stata aggiornata all'interno di un'unica nuova policy che includa sia un "Allow" per "Principal::"*" o "Principal":"AWS":"*" in una dichiarazione (rendendo pubblico il bucket) sia un "Deny" per "Action": "s3:GetBucketPublicAccessBlock in un'altra, il che ha alterato la capacità di tutti i chiamanti (incluso GuardDuty) di verificare la configurazione del bucket. I clienti che utilizzano la funzionalità BPA consigliata non sarebbero stati interessati da questo problema, in quanto la procedura precedente di disattivazione del BPA avrebbe innescato un avviso GuardDuty diverso.
Sebbene i precedenti criteri di rilevamento e limitazione di GuardDuty siano stati documentati pubblicamente qui, abbiamo concordato con la raccomandazione del ricercatore di modificare questo comportamento e, a partire dal 28 aprile 2023, abbiamo implementato una modifica per fornire comunque un avviso GuardDuty nella fattispecie.
Vorremmo ringraziare Gem Security per aver divulgato responsabilmente questo problema e aver collaborato con noi alla sua risoluzione.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.