亞馬遜云科技修復(fù)了 AWS Glue 服務(wù)中的安全漏洞
譯文【51CTO.com快譯】Amazon Web Services 修復(fù)了影響 AWS Glue 和 AWS CloudFormation 的兩個(gè)缺陷。
據(jù) Orca Security 稱,AWS Glue 中的漏洞可能允許攻擊者使用該服務(wù)創(chuàng)建資源,并訪問(wèn)其他 AWS Glue 客戶的數(shù)據(jù)。
Orca 研究人員表示,這是由于 AWS Glue 內(nèi)部配置錯(cuò)誤造成的,AWS 今天證實(shí)它已經(jīng)修復(fù)了該問(wèn)題。
Glue 于 2017 年推出,是一種托管的無(wú)服務(wù)器數(shù)據(jù)集成服務(wù),用于連接大型數(shù)據(jù)庫(kù),允許開(kāi)發(fā)人員為機(jī)器學(xué)習(xí)作業(yè)提取、轉(zhuǎn)換和加載 (ETL)。
Orca 研究人員發(fā)現(xiàn) Glue 功能可用于獲取 AWS 服務(wù)自己賬戶中某個(gè)角色的憑證,從而使攻擊者可以訪問(wèn)內(nèi)部服務(wù)的應(yīng)用程序編程接口 (API)。
使用這種內(nèi)部錯(cuò)誤配置的訪問(wèn),攻擊者可以提升帳戶內(nèi)的權(quán)限并獲得完全的管理權(quán)限。
“我們確認(rèn)我們將能夠訪問(wèn)其他 AWS Glue 客戶擁有的數(shù)據(jù),” Orca 研究員 Yanir Tsarimi 在一篇文章中說(shuō)。
AWS 在一份聲明中表示,Glue 客戶不需要更新系統(tǒng),并強(qiáng)調(diào)該漏洞不會(huì)影響不使用 Glue 的 AWS 客戶。
“利用 AWS Glue 功能,研究人員獲得了特定于服務(wù)本身的憑證,AWS 內(nèi)部的錯(cuò)誤配置允許研究人員將這些憑證用作 AWS Glue 服務(wù),” AWS 說(shuō)。
“這不可能被用來(lái)影響不使用 AWS Glue 服務(wù)的客戶。”
此外,AWS 表示,它審計(jì) Glue 日志可追溯到2017 年推出,并確認(rèn)自那時(shí)以來(lái)沒(méi)有客戶數(shù)據(jù)受到該漏洞的影響。
“當(dāng)報(bào)告此問(wèn)題時(shí),AWS 立即采取行動(dòng)糾正此問(wèn)題。已經(jīng)對(duì)追溯到服務(wù)啟動(dòng)的日志進(jìn)行了分析,我們最終確定與此問(wèn)題相關(guān)的唯一活動(dòng)是研究人員擁有的賬戶之間的活動(dòng),”AWS說(shuō)。
“沒(méi)有其他客戶的賬戶受到影響。AWS Glue 在客戶賬戶中采取的所有操作都記錄在 CloudTrail 記錄中,客戶可以控制和查看。”
Orca在 AWS中發(fā)現(xiàn)了第二個(gè)漏洞,該漏洞允許攻擊者破壞 CloudFormation 中的服務(wù)器,讓它們作為 AWS 基礎(chǔ)設(shè)施服務(wù)運(yùn)行。AWS 客戶可以使用 CloudFormation 來(lái)預(yù)置和管理云資源。
該公司發(fā)現(xiàn)了一個(gè) XML 外部實(shí)體注入 (XXE) 漏洞,該漏洞允許它代表服務(wù)器讀取文件并執(zhí)行 Web 請(qǐng)求。根據(jù) Orca 的說(shuō)法,攻擊者可以利用該漏洞來(lái)獲得“對(duì) AWS 中任何資源的特權(quán)訪問(wèn)”。
據(jù) Orca 稱,AWS 也修復(fù)了這個(gè)缺陷。
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】