게시일: 2024년 6월 11일 오전 9시(태평양 표준시)
AWS는 CVE-2024-37293에 등록된 오픈 소스 AWS Deployment Framework(ADF) 관련 문제를 확인했습니다. 이러한 문제는 다중 계정의 리전 간 배포를 용이하게 하기 위해 ADF의 부트스트랩 스택을 배포하는 부트스트랩 프로세스에 영향을 미칩니다. ADF 부트스트랩 프로세스에서는 강화된 권한을 사용하여 이 작업을 수행합니다. 부트스트랩 프로세스에는 AWS CodeBuild를 사용하는 코드 변경 기반 파이프라인과 AWS Lambda를 사용하는 이벤트 기반 상태 머신이라는 두 가지 버전이 있습니다. CodeBuild 프로젝트 또는 Lambda 함수의 동작을 변경할 권한이 있는 액터의 경우 권한을 에스컬레이션할 수 있습니다. 이 문제는 버전 4.0 이상에서 해결되었습니다. 방어를 강화하기 위해 최신 버전으로 즉시 업그레이드할 것을 권장합니다.
임시 완화 조치로, 관리 계정에서 ADF가 생성한 역할에 권한 경계를 추가하는 것을 권장합니다. 권한 경계는 모든 IAM 및 STS 작업을 거부합니다. ADF를 업그레이드하거나 새 계정을 부트스트랩할 때까지 권한 경계를 유지해야 합니다. 권한 경계가 설정된 동안에는 계정 관리와 계정 부트스트래핑에서 역할을 생성, 업데이트하거나 위임할 수 없습니다. 이렇게 하면 권한 에스컬레이션 위험이 완화되지만 ADF의 계정 생성, 관리, 부트스트랩 기능이 비활성화됩니다.
해당 문제를 책임감 있게 AWS에 알려주신 Xidian University에 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 알려주시기 바랍니다.