初回公開日: 2023 年 5 月 18 日午前 10 時 (米国東部標準時)
先日、セキュリティ研究者から Amazon GuardDuty における問題の報告を受けました。この問題は、パブリックアクセスブロック (BPA) で保護されていない S3 バケットに対するパブリックアクセス権を付与するためのバケットポリシーへの変更が、GuardDuty アラートをトリガーすることなく実行できるというものです。この特定の問題は、1 つのステートメントの "Principal::"*" または "Principal":"AWS":"*" が "Allow" になっている (これらはバケットをパブリックにします) と同時に、別のステートメントの "Action": "s3:GetBucketPublicAccessBlock" が "Deny" になっている (これは、GuardDuty を含むすべての呼び出し元がバケット構成を確認するための機能を変更します) 単一の新規ポリシー内で S3 バケットポリシーが更新された場合に発生します。推奨される BPA 機能を使用しているお客様は、BPA を無効化するために必要な前述のステップが異なる GuardDuty アラートをトリガーすることから、この問題の影響は受けていません。
GuardDuty の以前の検出基準と制限はこちらのドキュメントで公開されていましたが、AWS ではこの動作を変更するという研究者の勧告に同意して、このような場合でも引き続き GuardDuty アラートを提供するための変更を 2023 年 4 月 28 日付けで実装しました。
責任を持ってこの問題を明らかにし、その解決に協力してくださった Gem Security に感謝します。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。