최초 게시일: 2023년 4월 25일 오전 10시(EST)
최근에 한 보안 연구원이 AWS에서 IAM 사용자 보안 주체를 위한 다중 인증(MFA) 디바이스에 대해 최근 출시(2022년 11월 16일)한 지원에 문제가 있다고 보고했습니다. 보고된 문제는 다음과 같은 세 가지 조건이 충족된 경우에만 발생할 가능성이 있습니다. (1) IAM 사용자가 장기 액세스 키(AK)/비밀 키(SK) 보안 인증 정보를 소유함. (2) 해당 IAM 사용자가 MFA를 사용하지 않고 자신의 ID에 MFA를 추가할 수 있는 권한을 보유함. (3) 관리자가 콘솔 로그인 이외에 해당 IAM 사용자의 전체 액세스 권한이 MFA 추가 이후 더 커지도록 구성함. 이러한 한정된 조건에서 AK/SK만 소유하는 것은 AK/SK 및 이전에 구성된 MFA를 소유하는 것과 동등합니다.
자신의 ID와 연결된 MFA 디바이스를 추가 또는 삭제할 수 있는 IAM 사용자는 항상 AK/SK 보안 인증으로만 추가 또는 삭제할 수 있었지만, 자체 MFA 디바이스를 가진 IAM 사용자의 자가 관리 기능과 사용자가 MFA 이전에 제한적인 액세스를 추가하는 새 기능이 결합될 때 문제가 발생했습니다. 이 자가 관리 패턴은 여기에 설명되어 있으며, 해당 페이지에는 패턴 구현을 위한 샘플 IAM 정책이 포함되어 있습니다. 새로운 다중 MFA 기능의 조합으로 인해 이러한 접근 방식과의 불일치가 발생했습니다. 새로운 기능으로 인해 AK/SK 보안 인증 정보만 있는 사용자가 이전에 구성된 MFA를 사용하지 않고 다른 MFA를 추가할 수 있었으므로, 이전에 구성한 MFA 없이 AK/SK만 있어도 샘플 정책을 사용하는 고객이 예상했던 것보다 더 광범위한 액세스 권한을 얻을 수 있게 되었습니다.
로그인 시 기존 MFA가 항상 필요하므로 이 문제는 AWS Management Console 기반 액세스에는 영향을 미치지 않았습니다. ID 공급자를 통해 MFA를 관리하는 페더레이션 보안 주체에게도 영향을 미치지 않았습니다.
2023년 4월 21일부터, 이미 하나 이상의 MFA를 보유하고 있으며 AK/SK 보안 인증 정보를 사용하여 자신의 MFA 디바이스를 관리하는 IAM 사용자에게 MFA 디바이스를 직접 활성화 또는 비활성화하기 전에 먼저 sts:GetSessionToken 및 기존 MFA를 사용하여 CLI 명령 또는 API 요청에 서명할 MFA 기반 임시 보안 인증 정보를 얻도록 요구함으로써 해당 문제가 해결되었습니다. 이전에 AWS Management Console이 아닌 다른 방식으로 추가 MFA 디바이스를 연결했던 극소수의 고객에게는 Personal Health Dashboard를 통해 직접 알려 드렸습니다. 알림으로 통지한 고객에게는 MFA 구성이 올바른지 확인하도록 권장했습니다. 이외의 고객 조치는 필요하지 않습니다.
이 문제를 발견하고 책임감 있게 AWS에 알려주신 MWR Cybersec의 연구원들께 감사드립니다. 보안 관련 질문이나 우려 사항은 aws-security@amazon.com을 통해 제출할 수 있습니다.