최초 게시일: 2022년 1월 13일 13:00 PST
최근 보안 연구자들은 AWS CloudFormation의 문제를 식별하여 보고하였습니다. 자세히 설명하면 보고된 문제는 AWS 내부 호스트의 일부 로컬 구성 파일의 조회를 허용하거나 동일한 호스트에서 인증되지 않은 HTTP GET 요청을 시도하는 AWS CloudFormation 서비스 자체에 있었습니다. 연구자들은 HTTP GET 기능을 사용해 이 호스트에 특정된 로컬로 액세스 가능한 자격 증명 세트를 얻었습니다. 로컬 구성 파일 액세스 및 호스트 특정 자격 증명을 통한 고객 데이터 또는 리소스 액세스는 가능하지 않았습니다.
AWS는 해당 문제가 보고된 즉시 해결 조치를 취했으며 연구자들이 설명한 기법으로는 고객 데이터 또는 리소스에 액세스할 수 없음을 확인했습니다. 포괄적인 로그 분석을 통해 연구자들의 활동이 특정 AWS CloudFormation 호스트에 한정되었음을 확인했습니다. AWS 고객은 이 보고된 문제의 영향을 받지 않으며 고객이 취해야 할 조치는 없습니다.
이 문제를 보고해 주신 Orca Security에 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 제출할 수 있습니다.