공지 ID: AWS-2025-031
범위: AWS
콘텐츠 유형: 정보
게시일: 2025년 12월 15일 오전 11시 45분(PST)

설명:

Harmonix on AWS는 CNCF Backstage 프로젝트를 확장하는 개발자 플랫폼의 오픈 소스 참조 아키텍처이자 구현체입니다. AWS는 Harmonix on AWS 프레임워크의 과도하게 허용적인 IAM 신뢰 정책으로 인해, 인증된 사용자가 역할 수임을 통해 권한을 에스컬레이션할 수 있는 CVE-2025-14503을 발견했습니다. EKS 환경 프로비저닝 역할의 샘플 코드는 계정 루트 위탁자를 신뢰하도록 구성되어 있으며, 이를 통해 sts:AssumeRole 권한을 가진 모든 계정 위탁자가 관리 권한이 있는 역할을 수임할 수 있습니다.

영향을 받는 버전: v0.3.0~v0.4.1

해결 방법:

이 문제는 Harmonix on AWS 버전 0.4.2에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

버전 0.4.2 이상으로 즉시 업그레이드할 수 없는 경우 Harmonix on AWS 배포의 IAM 신뢰 정책을 검토 및 제한하는 것이 좋습니다. 특히 EKS 환경 프로비저닝 역할에 초점을 맞춰 계정 루트 위탁자를 신뢰하지 않도록 해야 합니다. 샘플 코드의 프로비저닝 역할은 IAM 콘솔에서 찾을 수 있으며 이름 패턴은 다음과 같습니다.

    *-eks-*-provisioning-role

requestParameters.roleArn 필드에 프로비저닝 역할의 ARN이 포함된 경우 'AssumeRole' 이벤트 이름에 대한 CloudTrail 이벤트를 검토하고 모니터링할 수 있습니다.

참고 사항:

• Harmonix on AWS 버전 0.4.2
• CVE-2025-14503
• GHSA-qm86-gqrq-mqcw

도움을 주신 분:

조정된 취약성 공개 프로세스를 진행하는 동안 문제 해결을 위해 협력해 주신 보안 연구원 r00tdaddy에 감사드립니다.
 

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.