多租户AWS漏洞暴露账户资源
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Amazon Web Services (AWS) 中存在一个多租户漏洞,可导致攻击者滥用 AWS AppSync 获得对组织机构账户中的资源。
云安全公司 Datadog 安全实验室解释称,攻击者可利用该AWS AppSync 服务在其它 AWS 账户中承担身份和访问管理 (IAM) 角色,获得这些账户中的资源。该Appsync 服务可使开发人员创建 GraphQL 和 Pub/Sub API,每种都具有相关的数据资源,并直接调用AWS API,创建AWS 服务集成,通过IAM权限定义角色。
该漏洞是“混淆代理问题”,原因是它允许权限稍低的实体(攻击者)诱骗权限更高的实体 (AppSync) 以其名义执行具体操作。
为阻止此类攻击,在创建数据来源的过程中,AWS验证针对AWS账户的该角色的唯一标志符 Amazon 资源名称 (ARN)。如果两者不匹配,则API 会显示错误。研究人员发现在验证过程中,“API将接受使用混合案例属性的 JSON payload”。该ARN 在serviceRoleARN 参数中传递,可用于绕过该验证流程。在本质上,该机制可使研究员“在不同的AWS账户中提供角色的 ARN”。
研究人员指出,“通过绕过ARN验证,我们能够在其它AWS账户中创建和角色相关联的AppSync 数据来源。这就可使攻击者与角色相关联的任何资源交互,信任任何账户中的 AWS AppSec 服务。”
研究人员表示,该漏洞可被用于创建指向其它AWS账户中的 AppSync API 数据来源,本质是在这些账户中访问数据。研究员已在9月1日将问题告知AWS,后者在9月6日推出补丁。
本周,AWS发布安全公告表示,该漏洞本可悲滥用于绕过 AppSync 的跨账户角色用途验证并访问其它客户账户中的资源。AWS提到,“任何客户均未受到该漏洞影响,无需采取任何操作。目前已分析自服务发布之日的日志,我们认为与该问题相关联的唯一一起活动发生在研究人员所控制的账户之间。其它客户账户并未受影响。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
如何找到 AWS 环境下应用程序中易于得手的漏洞?
亚马逊 AWS 大宕机,大量互联网服务无法使用
原文链接
https://www.securityweek.com/cross-tenant-aws-vulnerability-exposed-account-resources
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
多租户AWS漏洞暴露账户资源相关推荐
- 美国邮政署网站的一个高危漏洞暴露了6000万用户的数据
近日,美国邮政署(United States Postal Service,USPS)修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有600 ...
- django21:admin后台管理\media配置\图片防盗链\暴露后端资源\路由分发\时间分类
admin后台管理 创建超级用户 createsuperuser 1.到应用下的admin.py注册模型表 from django.contrib import admin from blog imp ...
- 这两个漏洞暴露 Facebook Group 成员,有个用手机就能发现,获奖$9000
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 作者Baibhav Anand 分享了自己找到的两个 Facebook Group漏洞且均获得4500美元的奖金.如下是详情. 第一个 ...
- aws cloudformation 理解自定义资源的使用
资料 AWS::CloudFormation::CustomResource cfn-response module 自定义资源的逻辑 cloudformation只能对aws service进行部署 ...
- Linux 内核漏洞暴露栈内存,造成数据泄露
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 思科 Talos 团队最近在 Linux 内核中发现了一个信息泄露漏洞 (CVE-2020-28588). Linux 内核是类 Unix ...
- 给aws的root账户新建密码
sudo passwd root 然后输入两次密码即可 su 之后输入刚设定的密码即切换到root用户了 也可以不用新建,直接sudo -i登录
- 手机硬件检测工具 AIDA64
文章目录[隐藏] 软件介绍 软件截图 版本特点 软件介绍 AIDA64是最权威安卓设备硬件检测利器.它是其它硬件性能检测App难以与之相比的,无论是设备型号.系统版本信息,还是CPU.显示屏和GPU的 ...
- 如何找到 AWS 环境下应用程序中易于得手的漏洞?
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本文作者介绍如何从AWS环境下的应用程序中找到易于发现的漏洞.如下是全文. 毋庸置疑,云环境已主导当前市场.服务提供商中,AWS 的地位正在上升 ...
- 如何用 Serverless 让 SaaS 获得更灵活的租户隔离、更优的资源开销
关于SaaS和Serverless,相信关注我的很多读者都已经不陌生,所以这篇不会聊它们的技术细节,而将重点放在SaaS软件架构中引入Serverless之后,能给我们的SaaS软件带来多大的收益. ...
最新文章
- 【MATLAB】符号数学计算(二):符号运算中的运算符和函数
- WPF 4.0 DatePicker 快速录入
- visual studio 2010 开发net 2.0 3.5项目
- wxpython的sizer_wxPython BoxSizer布局
- JVM调优-GC参数
- linux安装mysql 5.6.33
- Hadoop安装之JDK在Centos虚拟机中安装
- 神奇的幻方(洛谷P2615题题解,Java语言描述)
- 【英语学习】【WOTD】incipient 释义/词源/示例
- 【SpringBoot】Spring+Druid初级配置
- 从SDE库文件手工删除SDE图层(转载)
- Eclipse使用问题
- 算数基本定理 + 例题
- 台式电脑怎么组装步骤_台式机组装教程,详细教您台式机怎么组装
- 实例分析神经网络传播过程
- 关于 安装完MathType 后 Microsoft Word出现 53号错误 的解决方法
- 哈工大csapp计算机系统大作业
- 使用instantclient_19客户端(免安装)远程连接Oracle服务器端数据库
- FZU2285 迷宫寻宝
- imoo c1语言设置在哪里,不再被“辣眼睛”!imoo C1 护眼功能解析