Data di pubblicazione: 11/06/2024 09:00 AM PDT
AWS è a conoscenza dei problemi descritti in CVE-2024-37293, relativi all'AWS Deployment Framework (ADF) open source. Questi problemi influiscono sul processo di bootstrap responsabile dell'implementazione degli stack di bootstrap di ADF per facilitare le implementazioni multi-account tra Regioni. Il processo di bootstrap di ADF necessita di privilegi elevati per eseguire tale attività. Esistono due versioni del processo di bootstrap: una pipeline basata sulla modifica del codice che utilizza AWS CodeBuild e una macchina a stati basata su eventi che utilizza AWS Lambda. Se un attore dispone delle autorizzazioni per modificare il comportamento del progetto CodeBuild o della funzione Lambda, potrebbe ricalibrare i propri privilegi. Abbiamo risolto questo problema nella versione 4.0 e successive. Consigliamo ai clienti di eseguire immediatamente l'aggiornamento all'ultima versione per garantire una difesa completa.
Come mitigazione temporanea, consigliamo di aggiungere un limite delle autorizzazioni ai ruoli creati da ADF nell'account di gestione. Il limite delle autorizzazioni dovrebbe negare tutte le operazioni IAM e STS. Questo limite delle autorizzazioni dovrebbe essere valido fino all'aggiornamento di ADF o al bootstrap di un nuovo account. Mentre il limite delle autorizzazioni è in vigore, la gestione e il bootstrap di account non sono in grado di creare, aggiornare o assumere ruoli. Ciò attenua il rischio di escalation dei privilegi, ma disabilita anche la capacità di ADF di creare, gestire ed eseguire il bootstrap di account.
Ringraziamo la Xidian University per aver segnalato in modo responsabile questo problema ad AWS.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.