게시일: 2025년 1월 23일 오후 1시 30분(PDT)
AWS Identity and Access Management(AWS IAM) Sign-in 로그인 흐름에서 CVE-2025-0693이 확인되었습니다. 이 문제로 인해 공격자가 로그인 시도 중 서버 응답 시간을 측정하여 AWS IAM 사용자 이름을 열거할 수 있습니다. 그러한 응답 시간에 차이가 있으면 제출된 AWS IAM 사용자 이름이 계정에 존재하는지 아닌지 공격자가 구분할 수 있습니다.
사용자 이름 정보만으로는 인증이나 AWS 리소스에 액세스하기에 충분하지 않습니다. 계정 ID, 사용자 이름, 비밀번호, 다중 인증(MFA)(활성화된 경우) 등 전체 인증을 마쳐야 계정에 액세스할 수 있습니다. 또한 AWS는 여러 계층의 보호를 활용해 로그인 엔드포인트를 악용할 가능성을 모니터링하고 이에 대응합니다.
영향을 받는 버전: 2025년 1월 16일 이전 버전의 AWS Sign-in IAM 사용자 로그인 흐름.
해결 방법:
AWS는 모든 인증 실패 시나리오에 대해 응답 시간 지연을 도입했습니다. 이 개선 사항은 오류 응답에서 유효한 사용자 이름과 잘못된 사용자 이름 간의 시간 차를 없애 유효한 사용자 이름을 열거하지 못하도록 보호합니다.
고객이 취해야 할 조치는 없습니다. 고객은 AWS CloudTrail을 사용하여 실패한 로그인 이벤트와 성공한 로그인 이벤트 등의 로그인 활동을 모니터링할 수 있습니다. 자세한 정보는 CloudTrail 이벤트 참조 설명서를 참조하세요.
조정된 취약성 공개 프로세스에서 이 문제에 협력해 주신 Rhino Security Labs에 감사드립니다.
참고 사항:
보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com으로 문의하세요.