初始發佈日期:2023 年 5 月 18 日上午 10:00 EST
一位安全研究人員最近報告了一個與 Amazon GuardDuty 有關的問題:使用者能夠變更不受封鎖公開存取 (BPA) 保護的 S3 儲存貯體的政策,授予對該儲存貯體的公開存取權,並且不會觸發 GuardDuty 警示。如果使用包含以下內容的單個新政策更新 S3 儲存貯體政策,則會發生該問題:在一個陳述式中 "Principal::"*" 或 "Principal":"AWS":"*" 的值為 "Allow" (讓該儲存貯體可公開存取),並且在另一個陳述式中 "Action": "s3:GetBucketPublicAccessBlock" 的值為 "Deny" (導致所有呼叫者 (包括 GuardDuty) 均無法檢查該儲存貯體的組態)。使用推薦的 BPA 功能的客戶不會受到此問題的影響,因為在停用 BPA 之前所需採取的步驟會觸發不同的 GuardDuty 警示。
雖然以前的 GuardDuty 偵測標準和限制已公開記錄在此處,但我們同意研究人員關於改變此行為的建議,並且自 2023 年 4 月 28 日起,已實作了一項變更,使得系統在此狀況下仍發出 GuardDuty 警示。
我們很感謝 Gem Security 負責任地披露了此問題並與我們一同解決問題。
有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。