Data de publicação: 11/6/2024 9h (PDT)
A AWS está ciente dos problemas descritos no CVE-2024-37293 relacionados ao AWS Deployment Framework (ADF) de código aberto. Esses problemas afetam o processo de bootstrap que é responsável por implantar as pilhas de bootstrap do ADF para facilitar implantações entre regiões com várias contas. O processo de bootstrap do ADF depende de privilégios elevados para realizar essa tarefa. Existem duas versões do processo de bootstrap: um pipeline orientado por alterações no código que usa o AWS CodeBuild e uma máquina de estados orientada por eventos que usa o AWS Lambda. Se alguém tiver permissões para alterar o comportamento do projeto do CodeBuild ou da função do Lambda, essa pessoa poderá aumentar seus próprios privilégios. Esse problema foi resolvido na versão 4.0 e superior. Recomendamos que os clientes atualizem imediatamente para a versão mais recente para ajudar a garantir uma defesa abrangente.
Como medida de mitigação temporária, recomendamos adicionar um limite de permissões às funções criadas pelo ADF na conta de gerenciamento. O limite de permissões deve negar todas as ações do IAM e do STS. Esse limite de permissões deverá permanecer em vigor até você atualizar o ADF ou inicializar uma nova conta. Enquanto o limite de permissões está em vigor, o gerenciamento e o processo de bootstrap de contas não conseguem criar, atualizar ou assumir perfis. Isso reduz o risco de aumento de privilégios, mas também desativa a capacidade do ADF de criar, gerenciar e fazer o bootstrap de contas.
Gostaríamos de agradecer à Xidian University por divulgar esse problema de forma responsável à AWS.
Envie suas dúvidas ou preocupações sobre segurança para aws-security@amazon.com.