최초 게시일: 2023년 5월 18일 오전 10시(EST)
한 보안 연구원이 최근 Amazon GuardDuty에서 퍼블릭 액세스 차단(BPA)으로 보호되지 않는 S3 버킷 정책을 변경하여 GuardDuty 알림을 트리거하지 않고 버킷에 대한 퍼블릭 액세스를 허용할 수 있는 문제를 보고했습니다. 이 특정 문제는 하나의 명령문(버킷을 공개로 설정)에 "Principal::"*" 또는 "Principal":"AWS" ""*"에 대한 '허용'과 "Action": "s3:GetBucketPublicAccessBlock"에 대한 '거부'을 포함하는 단일 새 정책 내에서 S3 버킷 정책을 업데이트하여 모든 발신자(GuardDuty 포함)의 버킷 구성 확인 기능을 변경한 경우에 발생합니다. 권장 BPA 기능을 사용하는 고객은 이 문제의 영향을 받지 않았을 것입니다. 이전 단계에서 BPA를 비활성화하면 다른 GuardDuty 알림이 트리거되었기 때문입니다.
이전 GuardDuty 탐지 기준 및 제한 사항은 여기에 문서로 공개되어 있지만, 이러한 행동을 변경하라는 연구원의 권고에 동의하여 2023년 4월 28일부터는 위와 같은 경우에 반드시 GuardDuty 알림을 보내도록 변경 사항을 적용했습니다.
이 문제를 책임감 있게 공개하고 해결을 위해 협조해 주신 Gem Security에 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 연락 주시기 바랍니다.