AWS

AWS AppSync 发现的跨租户漏洞

关键要点

  • 漏洞概述 :AWS AppSync 存在跨租户漏洞,可能被攻击者利用以获取组织账户资源访问权限。
  • 研究发现 :Datadog Security Labs 发现 AWS API 在验证过程中接受带有混合大小写属性的 JSON 有效载荷。
  • 修补措施 :AWS 在九月发布了补丁,确认未有客户账户受到影响。

根据 的报道,威胁行为者可能会通过 AWS 的跨租户漏洞利用 的
AppSync,从而获取组织账户的资源访问权限。Datadog Security Labs 的研究人员在发现 AWS API在验证过程中允许混合大小写属性的 JSON 载荷时,识别出了这一漏洞。攻击者可以利用不同大小写的 ARN 跳过验证。

Datadog 表示:“通过绕过 ARN 验证,我们能够创建与其他 AWS 账户中的角色相关的 AppSync 数据源。这将允许攻击者与任何在信任 AWSAppSync 服务的角色相关的资源进行交互。”对此,AWS 已在九月发布了修补程序,并强调其客户没有受到影响。

AWS 进一步表示:“我们对服务启动以来的日志进行了分析,明确确定与此问题相关的唯一活动是在研究人员拥有的账户之间。没有其他客户账户受到影响。”

漏洞信息 | 细节
—|—
漏洞类型 | 跨租户
影响范围 | AWS AppSync
发现者 | Datadog Security Labs
修复日期 | 2023年9月

这次事件引起了业界的广泛关注,提醒了用户在使用云服务时应保持警惕以及及时更新相关服务的安全补丁。

Leave a Reply

Your email address will not be published. Required fields are marked *