【51CTO.com快譯】Amazon Web Services 修復(fù)了影響 AWS Glue 和 AWS CloudFormation 的兩個(gè)缺陷。

據(jù) Orca Security 稱，AWS Glue 中的漏洞可能允許攻擊者使用該服務(wù)創(chuàng)建資源，并訪問(wèn)其他 AWS Glue 客戶的數(shù)據(jù)。

Orca 研究人員表示，這是由于 AWS Glue 內(nèi)部配置錯(cuò)誤造成的，AWS 今天證實(shí)它已經(jīng)修復(fù)了該問(wèn)題。

Glue 于 2017 年推出，是一種托管的無(wú)服務(wù)器數(shù)據(jù)集成服務(wù)，用于連接大型數(shù)據(jù)庫(kù)，允許開(kāi)發(fā)人員為機(jī)器學(xué)習(xí)作業(yè)提取、轉(zhuǎn)換和加載 (ETL)。

Orca 研究人員發(fā)現(xiàn) Glue 功能可用于獲取 AWS 服務(wù)自己賬戶中某個(gè)角色的憑證，從而使攻擊者可以訪問(wèn)內(nèi)部服務(wù)的應(yīng)用程序編程接口 (API)。

使用這種內(nèi)部錯(cuò)誤配置的訪問(wèn)，攻擊者可以提升帳戶內(nèi)的權(quán)限并獲得完全的管理權(quán)限。

“我們確認(rèn)我們將能夠訪問(wèn)其他 AWS Glue 客戶擁有的數(shù)據(jù)，” Orca 研究員 Yanir Tsarimi 在一篇文章中說(shuō)。

AWS 在一份聲明中表示，Glue 客戶不需要更新系統(tǒng)，并強(qiáng)調(diào)該漏洞不會(huì)影響不使用 Glue 的 AWS 客戶。

“利用 AWS Glue 功能，研究人員獲得了特定于服務(wù)本身的憑證，AWS 內(nèi)部的錯(cuò)誤配置允許研究人員將這些憑證用作 AWS Glue 服務(wù)，” AWS 說(shuō)。

“這不可能被用來(lái)影響不使用 AWS Glue 服務(wù)的客戶。”

此外，AWS 表示，它審計(jì) Glue 日志可追溯到2017 年推出，并確認(rèn)自那時(shí)以來(lái)沒(méi)有客戶數(shù)據(jù)受到該漏洞的影響。

“當(dāng)報(bào)告此問(wèn)題時(shí)，AWS 立即采取行動(dòng)糾正此問(wèn)題。已經(jīng)對(duì)追溯到服務(wù)啟動(dòng)的日志進(jìn)行了分析，我們最終確定與此問(wèn)題相關(guān)的唯一活動(dòng)是研究人員擁有的賬戶之間的活動(dòng)，”AWS說(shuō)。

“沒(méi)有其他客戶的賬戶受到影響。AWS Glue 在客戶賬戶中采取的所有操作都記錄在 CloudTrail 記錄中，客戶可以控制和查看。”

Orca在 AWS中發(fā)現(xiàn)了第二個(gè)漏洞，該漏洞允許攻擊者破壞 CloudFormation 中的服務(wù)器，讓它們作為 AWS 基礎(chǔ)設(shè)施服務(wù)運(yùn)行。AWS 客戶可以使用 CloudFormation 來(lái)預(yù)置和管理云資源。
該公司發(fā)現(xiàn)了一個(gè) XML 外部實(shí)體注入 (XXE) 漏洞，該漏洞允許它代表服務(wù)器讀取文件并執(zhí)行 Web 請(qǐng)求。根據(jù) Orca 的說(shuō)法，攻擊者可以利用該漏洞來(lái)獲得“對(duì) AWS 中任何資源的特權(quán)訪問(wèn)”。

據(jù) Orca 稱，AWS 也修復(fù)了這個(gè)缺陷。

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】