發布日期:2025/01/23 1:30 PM PDT
我們已在 AWS Identity and Access Management (AWS IAM) 登入流程中識別出 CVE-2025-0693。此問題導致有心人士可測量登入嘗試期間的伺服器回應時間,藉以列舉 AWS IAM 使用者名稱。這些回應時間的變化可讓有心人士判斷帳戶中是否有已提交的 AWS IAM 使用者名稱。
請注意,僅有使用者名稱資訊不足以驗證或存取任何 AWS 資源。需要完整驗證,包括帳戶識別碼、使用者名稱、密碼和多因素驗證 (若啟用),才能存取帳戶。此外,AWS 還利用多層保護來監控登入端點的潛在濫用情況並做出回應。
受影響版本:2025 年 1 月 16 日之前的 AWS 登入 IAM 使用者登入流程。
解決方案:
AWS 在所有驗證失敗案例中引進回應時間延遲。此增強功能會移除失敗回應中有效和無效使用者名稱之間的時間差異,以防止有效的使用者名稱列舉。
客戶不需採取任何動作。客戶可以使用 AWS CloudTrail 監控登入活動,包括失敗和成功登入事件。如需詳細資訊,請參閱 CloudTrail 事件參考文件。
我們誠摯感謝 Rhino Security Labs 透過協調的漏洞披露程序,與我們協作解決此問題。
參考資料:
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。