4 giugno 2011
Quando si utilizzano le Amazon Machine Images (AMI), è bene ricordare di adottare adeguate precauzioni per evitare di lasciare inavvertitamente delle credenziali importanti sulle AMI condivise pubblicamente. Di recente, ci sono stati segnalati dei casi in cui i clienti hanno inavvertitamente creato e condiviso pubblicamente delle credenziali.
Quando AWS è stata informata di situazioni in cui i clienti hanno inavvertitamente esposto le credenziali di accesso ad AWS e a terze parti all'interno di un'AMI creata e condivisa pubblicamente, AWS ha contattato tali clienti, invitandoli a rendere l'AMI in questione privata e a modificare immediatamente le credenziali esposte. Nei casi in cui non è stato possibile raggiungere immediatamente il cliente interessato, AWS ha reso l'AMI in questione privata per conto del cliente al fine di evitare ulteriori esposizioni delle sue credenziali personali di accesso ad AWS e a terze parti.
Quando AWS è stata informata di un'AMI pubblica contenente una chiave preinstallata pubblica SecureShell (SSH), che garantisce effettivamente all'entità di pubblicazione dell'AMI l'accesso remoto a qualsiasi istanza in esecuzione di tale AMI, AWS ha contattato l'entità di pubblicazione dell'AMI richiedendole di rendere l'AMI in questione privata. Nei casi in cui non è stato possibile raggiungere immediatamente l'entità di pubblicazione dell'AMI oppure l'entità di pubblicazione non ha provveduto a rendere l'AMI in questione privata in modo tempestivo, AWS ha reso tale AMI privata al fine di tutelare i clienti. Inoltre, tutti i clienti identificati che eseguivano istanze dell'AMI interessata sono stati informati e invitati a rimuovere la chiave preinstallata pubblica SSH oggetto della violazione, bloccando in modo efficace l'accesso remoto da parte dell'entità di pubblicazione dell'AMI. I clienti identificati che eseguivano istanze dell'AMI interessata sono stati anche caldamente invitati a effettuare un backup dei dati esistenti e di migrare a un'AMI più recente, se disponibile.
Non ci è pervenuta alcuna segnalazione che tali vulnerabilità siano state attivamente sfruttate. Lo scopo di questo documento è ricordare agli utenti che è fondamentale ricercare in modo approfondito le eventuali credenziali importanti presenti su un'AMI e rimuoverle prima di rendere l'AMI disponibile pubblicamente. Lo scopo di questo documento è ricordare agli utenti che è fondamentale ricercare in modo approfondito le eventuali credenziali importanti presenti su un'AMI e rimuoverle prima di rendere l'AMI disponibile pubblicamente. Un tutorial su come condividere e utilizzare le AMI pubbliche in modo sicuro è disponibile a questo indirizzo: http://aws.amazon.com/articles/0155828273219400
Ulteriori indicazioni sulla condivisione sicura delle AMI sono disponibili qui: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
L'utilizzo di queste linee guida migliora l'esperienza utente e contribuisce sia a garantire la sicurezza delle istanze degli utenti sia a tutelare l'entità di pubblicazione dell'AMI.
I clienti sono invitati a segnalare eventuali problemi di sicurezza associati a un'AMI pubblica ad AWS Security, aws-security@amazon.com