Problema com o fluxo de login de usuário do IAM com Início de Sessão da AWS: possível enumeração de nome de usuário (CVE-2025-0693)
Escopo: AWS
Tipo de conteúdo: Informativo
Data da publicação: 2025/01/23 13:30 PDT
Identificamos o CVE-2025-0693 no fluxo de login do AWS Identity and Access Management (AWS IAM). Esse problema pode permitir que um usuário mal-intencionado enumere nomes de usuário do AWS IAM por meio da medição dos tempos de resposta do servidor durante tentativas de login. Variações nesses tempos de resposta podem permitir que um usuário mal-intencionado identifique se um nome de usuário do AWS IAM enviado existe na conta.
Observe que, por si só, informações de nome de usuário são insuficientes para autenticar ou acessar qualquer recurso da AWS. Para acessar uma conta, é necessária a autenticação completa, incluindo o identificador de conta, o nome do usuário, a senha e a autenticação multifator (se habilitada). Além disso, a AWS utiliza várias camadas de proteção para monitorar e responder ao possível uso indevido de nossos endpoints de login.
Versões afetadas: fluxo de login de usuários do AWS Sign-in IAM antes de 16 de janeiro de 2025.
Resolução:
A AWS introduziu um atraso nos tempos de resposta em todos os cenários de falha de autenticação. Esse atraso protege contra a enumeração de nomes de usuário válidos, removendo qualquer variação de tempo entre nomes de usuário válidos e inválidos em respostas de falha.
Nenhuma ação é necessária por parte do cliente. Os clientes podem monitorar a atividade de login, incluindo eventos de login com êxito e falha, usando o AWS CloudTrail. Para obter mais informações, consulte a documentação de referência de eventos do CloudTrail.
Gostaríamos de agradecer à Rhino Security Labs por colaborar na resolução deste problema por meio do processo coordenado de divulgação de vulnerabilidades.
Referências:
Envie um e-mail para aws-security@amazon.com com quaisquer perguntas ou preocupações de segurança.