最初發布日期:04/25/2023 10:00AM EST
安全研究人員於近期回報了 AWS 近期為 (2022 年 11 月 16 日) 的 IAM 使用者主體,提供支援多重要素驗證 (MFA) 裝置的問題。回報的問題可能僅在滿足以下三個條件時出現:(1) IAM 使用者擁有長期存取金鑰 (AK)/秘密金鑰 (SK) 憑證,(2) IAM 使用者有權在不使用 MFA 的情況下將 MFA 新增至自己的身分,以及 (3) 新增 MFA 之後,管理員已擴大 IAM 使用者除主控台登入之外的整體存取權。在這些限制性條件下,單獨擁有 AK/SK 相當於同時擁有 AK/SK 和先前設定的 MFA。
雖然能夠新增或刪除與自己身分相關聯之 MFA 裝置的 IAM 使用者一直僅可使用 AK/SK 憑證完成此動作,但如果此新功能與 IAM 使用者對自有 MFA 裝置的自我管理結合使用,並且在使用者新增 MFA 之前存取受限,就會出現問題。此自我管理模式已在此處記錄,該頁面包含實作模式的 IAM 政策範例。新的多 MFA 功能組合造成了與該方法不一致的情況。這項新功能讓僅有 AK/SK 憑證的使用者,可以在不使用先前設定之 MFA 的情況下新增額外的 MFA,因此使用者可以在沒有先前設定之 MFA 的情況下單獨擁有 AK/SK,取得比使用範例政策的客戶預期更廣泛的存取權。
此問題不會影響 AWS 管理主控台型存取,因為登入時始終需要現有的 MFA。它也不會影響透過其身份提供者管理 MFA 的聯合主體。
自 2023 年 4 月 21 日起,我們已修復此問題,方法是要求已經擁有一個或多個 MFA 並使用 AK/SK 憑證管理自有 MFA 裝置的 IAM 使用者,先使用 sts:GetSessionToken 和現有的 MFA 取得啟用 MFA 的暫時性憑證,為自己啟用或停用 MFA 裝置之前,簽署其 CLI 命令或 API 請求。我們已透過 Personal Health Dashboard 直接通知極少數客戶,這些客戶之前曾使用 AWS 管理主控台以外的機制關聯其他 MFA 裝置。我們建議這些得到通知的客戶確認其 MFA 組態的正確性。客戶不需要採取進一步的動作。
我們要感謝 MWR Cybersec 的研究人員確定並以負責任的方式向 AWS 披露此問題。有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。