Data de publicação inicial: 25/04/2023 11h BRT
Um pesquisador de segurança relatou recentemente um problema com o suporte recém-lançado (16 de novembro de 2022) da AWS para vários dispositivos de autenticação multifator (MFA) para entidades principais de usuários do IAM. O problema relatado poderia ter potencialmente surgido somente quando as três condições a seguir fossem atendidas: (1) um usuário do IAM possuía credenciais de chave de acesso (AK) / credenciais de chave secreta (SK) de longo prazo, (2) esse usuário do IAM tinha o privilégio de adicionar uma MFA à própria identidade sem usar uma MFA, e (3) os privilégios gerais de acesso desse usuário do IAM além do login no console foram configurados por um administrador para serem maiores após a adição da MFA. Sob essas condições restritas, a posse da AK/SK por si só era equivalente à posse da AK/SK e de uma MFA previamente configurada.
Embora os usuários do IAM com a capacidade de adicionar ou excluir um dispositivo de MFA associado à própria identidade sempre tenham conseguido fazer isso somente com credenciais AK/SK, surgiu um problema quando o novo recurso foi combinado com o autogerenciamento por usuários do IAM de seus próprios dispositivos de MFA, com acesso restrito antes da adição de uma MFA pelo usuário. Esse padrão de autogerenciamento foi documentado aqui, e essa página incluía um exemplo da política do IAM para implementar o padrão. A combinação do novo recurso multiMFA criou uma inconsistência com essa abordagem. Com o novo recurso, um usuário que possui apenas credenciais AK/SK poderia adicionar uma MFA extra sem usar uma MFA configurada anteriormente, permitindo assim a posse da AK/SK por si só, sem uma MFA previamente configurada, para potencialmente obter acesso mais amplo do que o esperado pelos clientes usando a política de exemplo.
Esse problema não afetou o acesso baseado no Console de Gerenciamento da AWS, pois sempre é necessário uma MFA para o login. Tampouco afetou as entidades principais federadas, que gerenciam a MFA por meio de seu provedor de identidade.
Desde 21 de abril de 2023, o problema identificado é corrigido exigindo que os usuários do IAM que já têm uma ou mais MFAs e usam credenciais AK/SK para gerenciar os próprios dispositivos de MFA usem primeiro o sts:GetSessionToken e uma MFA existente para obterem credenciais temporárias habilitadas para MFA para assinar seus comandos da CLI ou solicitações de API antes de habilitar ou desabilitar os dispositivos de MFA para si mesmos. Notificamos diretamente um número muito pequeno de clientes, por meio do Personal Health Dashboard, que já haviam associado um dispositivo de MFA adicional usando um mecanismo diferente do Console de Gerenciamento da AWS. Recomendamos que esses clientes notificados confirmem a exatidão de suas configurações de MFA. Nenhuma ação adicional do cliente é necessária.
Gostaríamos de agradecer aos pesquisadores da MWR Cybersec por identificarem e responsavelmente divulgarem esse problema à AWS. Envie dúvidas ou preocupações relacionadas à segurança para aws-security@amazon.com.