Data inicial de publicação: 01/13/2022 13:00 PST
Pesquisadores de segurança identificaram e relataram recentemente um problema no AWS CloudFormation. Especificamente, o problema relatado estava no próprio serviço AWS CloudFormation, que permitia a visualização de alguns arquivos de configuração locais em um host interno da AWS ou tentativas de solicitações HTTP GET não autenticadas do mesmo host. Os pesquisadores utilizaram o recurso HTTP GET para obter um conjunto de credenciais acessíveis localmente específicas do host. Nem o acesso ao arquivo de configuração local, nem as credenciais específicas do host permitiram o acesso a dados ou recursos de clientes.
A AWS tomou medidas imediatas para corrigir esse problema quando ele foi relatado e verificou que a técnica descrita pelos pesquisadores não poderia ser usada para acessar dados ou recursos de clientes. Uma extensa análise de logs verificou que a atividade dos pesquisadores estava limitada ao host específico do AWS CloudFormation. Os clientes da AWS não foram afetados por essa preocupação relatada e não são necessárias ações do cliente.
Gostaríamos de agradecer à Orca Security por relatar esse problema.
Envie dúvidas ou preocupações relacionadas à segurança para aws-security@amazon.com.