Data di pubblicazione: 23/01/2025 alle ore 13:30 PDT
Abbiamo identificato CVE-2025-0693 nel flusso di accesso ad AWS Identity and Access Management (AWS IAM). Questo problema potrebbe consentire a un attore di enumerare i nomi utente di AWS IAM misurando i tempi di risposta del server durante i tentativi di accesso. Le variazioni in questi tempi di risposta potrebbero consentire a un attore di capire se nell'account esiste un nome utente AWS IAM inviato.
Tieni presente che le informazioni sul nome utente da sole non sono sufficienti per autenticare o accedere a qualsiasi risorsa AWS. Per accedere a un account è necessaria l'autenticazione completa, che include identificatore dell'account, nome utente, password e autenticazione a più fattori (se abilitata). Inoltre, AWS si avvale di più livelli di protezione per monitorare e rispondere al potenziale uso improprio dei nostri endpoint di accesso.
Versioni interessate: flusso di accesso ad AWS degli utenti IAM prima del 16 gennaio 2025.
Risoluzione:
AWS ha introdotto un ritardo nei tempi di risposta in tutti gli scenari di autenticazione non riuscita. Questo miglioramento protegge dall'enumerazione dei nomi utente validi rimuovendo qualsiasi variazione temporale tra nomi utente validi e non validi nelle risposte di errore.
Non è necessaria alcuna azione da parte del cliente. I clienti possono monitorare l'attività di accesso, inclusi gli eventi di accesso non riusciti o riusciti, utilizzando AWS CloudTrail. Per ulteriori informazioni, consulta la documentazione CloudTrail Event Reference.
Desideriamo ringraziare Rhino Security Labs per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.
Riferimenti:
È possibile inviare un'e-mail all'indirizzo e-mail aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.