初版発行日: 2022 年 1 月 13 日 午後 1 時 (PST)
AWS CloudFormation での問題がセキュリティ研究者によって最近特定され、報告されました。具体的には、報告された問題は AWS CloudFormation サービス自体に存在し、AWS 内部ホストで一部の設定ファイルの表示が許可されたり、同じホストから未認証の HTTP GET リクエストが試行されたりしました。調査研究者は、HTTP GET 機能を使用して、このホスト固有のローカルでアクセス可能な認証情報のセットを取得できました。ローカルの設定ファイルへのアクセスでも、またホスト固有の認証情報でも、顧客データやリソースへのアクセスは許可されませんでした。
AWS では、この問題の報告時に直ちに措置を講じて問題を修正し、調査研究者によって説明された手法を使用して顧客データやリソースへアクセスすることはできないことを確認しました。広範なログ分析により、研究者によるアクティビティは特定の AWS CloudFormation ホストに制限されていたことを確認しました。今回報告された問題による AWS のお客様への影響はありません。また、お客様によるご対応は不要です。
この問題をご報告いただいた Orca Security に感謝いたします。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。