Problema con il flusso di accesso ad AWS degli utenti IAM: possibile enumerazione del nome utente (CVE-2025-0693)
Ambito: AWS
Tipo di contenuto: informazioni
Data di pubblicazione: 2025/01/23 13:30 PDT
Abbiamo identificato CVE-2025-0693 nel flusso di accesso ad AWS Identity and Access Management (AWS IAM). Questo problema potrebbe consentire a un attore di enumerare i nomi utente di AWS IAM misurando i tempi di risposta del server durante i tentativi di accesso. Le variazioni in questi tempi di risposta potrebbero consentire a un attore di capire se nell'account esiste un nome utente AWS IAM inviato.
Tieni presente che le informazioni sul nome utente da sole non sono sufficienti per autenticare o accedere a qualsiasi risorsa AWS. Per accedere a un account è necessaria l'autenticazione completa, che include identificatore dell'account, nome utente, password e autenticazione a più fattori (se abilitata). Inoltre, AWS si avvale di più livelli di protezione per monitorare e rispondere al potenziale uso improprio dei nostri endpoint di accesso.
Versioni interessate: flusso di accesso degli utenti IAM di AWS Sign-in prima del 16 gennaio 2025.
Risoluzione:
AWS ha introdotto un ritardo nei tempi di risposta in tutti gli scenari di autenticazione non riuscita. Questo miglioramento protegge dall'enumerazione dei nomi utente validi rimuovendo qualsiasi variazione temporale tra nomi utente validi e non validi nelle risposte di errore.
Non è necessaria alcuna azione da parte del cliente. I clienti possono monitorare l'attività di accesso, inclusi gli eventi di accesso non riusciti o riusciti, utilizzando AWS CloudTrail. Per ulteriori informazioni, consulta la documentazione CloudTrail Event Reference.
Desideriamo ringraziare Rhino Security Labs per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.
Riferimenti:
Inviare un'e-mail a aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.