04 de junho de 2011
Ao usar imagens de máquina da Amazon (AMI), é importante lembrar de adotar as medidas adequadas a fim de garantir que credenciais importantes não sejam deixadas acidentalmente nas AMIs quando elas forem compartilhadas publicamente. Recentemente tomamos conhecimento de algumas situações nas quais clientes criaram e compartilharam credenciais publicamente de maneira acidental.
Para os casos de clientes que expuseram acidentalmente credenciais de acesso da AWS e de terceiros em uma AMI pública criada e compartilhada sobre os quais tomamos conhecimento, a AWS entrou em contato com esses clientes e orientou eles a tornar as AMIs associadas privadas, alterando imediatamente as credenciais expostas. Em casos nos quais não foi possível entrar em contato imediato com o cliente, a AWS tornou a AMI associada privada em nome do cliente a fim de impedir a exposição adicional das credenciais pessoais de acesso da AWS e de terceiros.
Nos casos em que a AWS tomou ciência sobre uma AMI pública que contém uma chave SecureShell (SSH) pública pré-instalada, que concede efetivamente acesso remoto ao responsável pela publicação da AMI a qualquer instância em execução da respectiva AMI, a AWS entrou em contato com o responsável pela publicação da AMI e exigiu que a AMI associada ficasse privada. Quando não foi possível entrar em contato imediatamente com o responsável pela publicação da AMI ou a AMI associada não foi fechada ao acesso público, a AWS tornou a AMI associada privada a fim de proteger nossos clientes. Além disso, todos os clientes identificados executando instâncias dessas AMI afetadas foram notificados e incentivados a remover a chave SSH pública pré-instalada transgressora, bloqueando efetivamente o acesso remoto por parte do responsável pela publicação da AMI. Os clientes identificados executando instâncias da AMI afetada também foram veementemente incentivados a fazer o backup dos dados existentes e migrar para uma AMI mais nova, se disponível.
Não recebemos relatos de exploração ativa dessas vulnerabilidades. Este documento tem como finalidade lembrar aos usuários que é extremamente importante pesquisar cuidadosamente e remover qualquer credencial importante da AMI antes de torná-la pública. Este documento tem como finalidade lembrar aos usuários que é extremamente importante pesquisar cuidadosamente e remover qualquer credencial importante da AMI antes de torná-la pública. Um tutorial sobre como compartilhar e usar AMIs públicas de maneira segura está disponível aqui: http://aws.amazon.com/articles/0155828273219400
Orientações adicionais sobre o compartilhamento seguro de AMIs estão disponível aqui: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
A aderência a essas diretrizes resulta em uma melhor experiência do usuário, ajuda a garantir a segurança das instâncias do usuário e pode proteger o responsável pela publicação da AMI.
Os clientes devem relatar qualquer preocupação sobre a segurança de uma AMI pública para a área de segurança da AWS em aws-security@amazon.com