初始發布日期:2022/01/13 13:00 PST
安全研究人員最近發現並報告了 AWS CloudFormation 中的一個問題。具體而言,報告的問題出在 AWS CloudFormation 服務本身,因為透過這項服務可以查看 AWS 內部主機上的一些本機組態檔案,或嘗試取得來自同一主機且未經驗證的 HTTP GET 請求。研究人員利用 HTTP GET 功能來取得一組特定於主機的本機可存取憑證。本機組態檔案存取和主機特定憑證均不允許存取任何客戶資料或資源。
當報告並驗證研究人員描述的技術無法用於存取客戶資料或資源時,AWS 立即採取了相關動作來更正此問題。廣泛的日誌分析已證實研究人員活動僅限於特定的 AWS CloudFormation 主機。AWS 客戶不受此報告的問題的影響且不需採取任何動作。
我們非常感謝 Orca Security 報告此問題。
有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。