Data de publicação inicial: 18/05/2023 às 11h BRT
Um pesquisador de segurança relatou recentemente um problema no Amazon GuardDuty: uma alteração poderia ser feita na política de um bucket S3 não protegido pelo Bloqueio de Acesso Público (BPA). Caso isso ocorresse, ela concederia acesso público ao bucket sem acionar um alerta do GuardDuty. Esse problema específico ocorreria se a política de bucket do S3 fosse atualizada em uma única política nova que incluísse “Allow” (“Permitir”) para "Principal::"*" ou "Principal":"AWS":"*" em uma declaração (tornando o bucket público) e também um “Deny” (“Negar”) para “Action” (“Ação”): “s3:GetBucketPublicAccessBlock” em outra, o que alterou a capacidade de todos os chamadores (incluindo o GuardDuty) de verificar a configuração do bucket. Os clientes que usam o recurso de BPA recomendado não teriam sido afetados por esse problema porque a etapa anterior exigida para desativar o BPA teria acionado um alerta do GuardDuty diferente.
Embora os critérios de detecção e limitação anteriores do GuardDuty tenham sido documentados publicamente aqui, concordamos com a recomendação do pesquisador de alterar esse comportamento e, a partir de 28 de abril de 2023, implementamos uma alteração para ainda fornecer um alerta do GuardDuty nesse caso.
Gostaríamos de agradecer à Gem Security por divulgar esse problema com responsabilidade e trabalhar conosco em sua resolução.
Envie dúvidas ou preocupações relacionadas à segurança para aws-security@amazon.com.