Ngày phát hành lần đầu: 13/01/2022 13:00 chiều, giờ PST
Các nhà nghiên cứu bảo mật gần đây đã phát hiện và báo cáo một sự cố trong AWS CloudFormation. Cụ thể, sự cố được báo cáo nằm trong chính dịch vụ AWS CloudFormation. Sự cố này cho phép xem một số tệp cấu hình cục bộ trên máy chủ nội bộ AWS hoặc tìm cách thực hiện các yêu cầu HTTP GET chưa được xác thực từ cùng một máy chủ. Các nhà nghiên cứu đã tận dụng khả năng của HTTP GET để lấy tập thông tin xác thực có thể truy cập cục bộ dành riêng cho máy chủ đó. Quyền truy cập tệp cấu hình cục bộ cũng như thông tin xác thực dành riêng cho máy chủ đều không cho phép truy cập vào bất cứ dữ liệu hay tài nguyên nào của khách hàng.
AWS đã ngay lập tức hành động để khắc phục sự cố này khi nhận được báo cáo và xác minh rằng kỹ thuật mà các nhà nghiên cứu mô tả không thể dùng để truy cập vào dữ liệu hoặc tài nguyên của khách hàng. Nội dung phân tích nhật ký mở rộng đã xác minh hoạt động của các nhà nghiên cứu bị giới hạn ở máy chủ AWS CloudFormation cụ thể. Các khách hàng của AWS không chịu ảnh hưởng bởi mối lo ngại được báo cáo này và khách hàng không cần thực hiện hành động nào.
Chúng tôi rất cảm ơn Orca Security đã báo cáo sự cố này.
Bạn có thể gửi thắc mắc hoặc mối lo ngại liên quan đến bảo mật cho chúng tôi theo địa chỉ aws-security@amazon.com.