Дата первой публикации: 13.01.2022, 13:00 по тихоокеанскому времени
Недавно исследователи в области безопасности обнаружили проблему в AWS CloudFormation и сообщили нам о ней. В частности, проблема была связана с самим сервисом AWS CloudFormation, который позволял просматривать некоторые локальные файлы конфигурации на внутреннем хосте AWS или выполнять не прошедшие аутентификацию HTTP-запросы GET с того же хоста. Исследователи использовали HTTP GET, чтобы получить набор локально доступных учетных данных хоста. Ни доступ к локальному файлу конфигурации, ни учетные данные хоста нельзя было использовать для доступа к данным или ресурсам клиента.
Компания AWS приняла незамедлительные меры по устранению этой проблемы и подтвердила, что описанный исследователями метод нельзя использовать для доступа к данным или ресурсам клиентов. Подробный анализ журналов подтвердил, что производимые исследователями действия ограничивались конкретным хостом AWS CloudFormation. Эта проблема не затронула клиентов AWS, и от них не требуется никаких действий.
Мы хотели бы поблагодарить компанию Orca Security за обнаружение этой проблемы.
Если возникнут вопросы или опасения, касающиеся безопасности, сообщите о них, написав по адресу aws-security@amazon.com.