【51CTO.com快譯】Amazon Web Services 修復(fù)了影響 AWS Glue 和 AWS CloudFormation 的兩個缺陷。

據(jù) Orca Security 稱，AWS Glue 中的漏洞可能允許攻擊者使用該服務(wù)創(chuàng)建資源，并訪問其他 AWS Glue 客戶的數(shù)據(jù)。

Orca 研究人員表示，這是由于 AWS Glue 內(nèi)部配置錯誤造成的，AWS 今天證實它已經(jīng)修復(fù)了該問題。

Glue 于 2017 年推出，是一種托管的無服務(wù)器數(shù)據(jù)集成服務(wù)，用于連接大型數(shù)據(jù)庫，允許開發(fā)人員為機器學(xué)習(xí)作業(yè)提取、轉(zhuǎn)換和加載 (ETL)。

Orca 研究人員發(fā)現(xiàn) Glue 功能可用于獲取 AWS 服務(wù)自己賬戶中某個角色的憑證，從而使攻擊者可以訪問內(nèi)部服務(wù)的應(yīng)用程序編程接口 (API)。

使用這種內(nèi)部錯誤配置的訪問，攻擊者可以提升帳戶內(nèi)的權(quán)限并獲得完全的管理權(quán)限。

“我們確認(rèn)我們將能夠訪問其他 AWS Glue 客戶擁有的數(shù)據(jù)，” Orca 研究員 Yanir Tsarimi 在一篇文章中說。

AWS 在一份聲明中表示，Glue 客戶不需要更新系統(tǒng)，并強調(diào)該漏洞不會影響不使用 Glue 的 AWS 客戶。

“利用 AWS Glue 功能，研究人員獲得了特定于服務(wù)本身的憑證，AWS 內(nèi)部的錯誤配置允許研究人員將這些憑證用作 AWS Glue 服務(wù)，” AWS 說。

“這不可能被用來影響不使用 AWS Glue 服務(wù)的客戶。”

此外，AWS 表示，它審計 Glue 日志可追溯到2017 年推出，并確認(rèn)自那時以來沒有客戶數(shù)據(jù)受到該漏洞的影響。

“當(dāng)報告此問題時，AWS 立即采取行動糾正此問題。已經(jīng)對追溯到服務(wù)啟動的日志進行了分析，我們最終確定與此問題相關(guān)的唯一活動是研究人員擁有的賬戶之間的活動，”AWS說。

“沒有其他客戶的賬戶受到影響。AWS Glue 在客戶賬戶中采取的所有操作都記錄在 CloudTrail 記錄中，客戶可以控制和查看。”

Orca在 AWS中發(fā)現(xiàn)了第二個漏洞，該漏洞允許攻擊者破壞 CloudFormation 中的服務(wù)器，讓它們作為 AWS 基礎(chǔ)設(shè)施服務(wù)運行。AWS 客戶可以使用 CloudFormation 來預(yù)置和管理云資源。
該公司發(fā)現(xiàn)了一個 XML 外部實體注入 (XXE) 漏洞，該漏洞允許它代表服務(wù)器讀取文件并執(zhí)行 Web 請求。根據(jù) Orca 的說法，攻擊者可以利用該漏洞來獲得“對 AWS 中任何資源的特權(quán)訪問”。

據(jù) Orca 稱，AWS 也修復(fù)了這個缺陷。

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】