【51CTO.com快译】Amazon Web Services 修复了影响 AWS Glue 和 AWS CloudFormation 的两个缺陷。
据 Orca Security 称,AWS Glue 中的漏洞可能允许攻击者使用该服务创建资源,并访问其他 AWS Glue 客户的数据。
Orca 研究人员表示,这是由于 AWS Glue 内部配置错误造成的,AWS 今天证实它已经修复了该问题。
Glue 于 2017 年推出,是一种托管的无服务器数据集成服务,用于连接大型数据库,允许开发人员为机器学习作业提取、转换和加载 (ETL)。
Orca 研究人员发现 Glue 功能可用于获取 AWS 服务自己账户中某个角色的凭证,从而使攻击者可以访问内部服务的应用程序编程接口 (API)。
使用这种内部错误配置的访问,攻击者可以提升帐户内的权限并获得完全的管理权限。
“我们确认我们将能够访问其他 AWS Glue 客户拥有的数据,” Orca 研究员 Yanir Tsarimi 在一篇文章中说。
AWS 在一份声明中表示,Glue 客户不需要更新系统,并强调该漏洞不会影响不使用 Glue 的 AWS 客户。
“利用 AWS Glue 功能,研究人员获得了特定于服务本身的凭证,AWS 内部的错误配置允许研究人员将这些凭证用作 AWS Glue 服务,” AWS 说。
“这不可能被用来影响不使用 AWS Glue 服务的客户。”
此外,AWS 表示,它审计 Glue 日志可追溯到2017 年推出,并确认自那时以来没有客户数据受到该漏洞的影响。
“当报告此问题时,AWS 立即采取行动纠正此问题。已经对追溯到服务启动的日志进行了分析,我们最终确定与此问题相关的唯一活动是研究人员拥有的账户之间的活动,”AWS说。
“没有其他客户的账户受到影响。AWS Glue 在客户账户中采取的所有操作都记录在 CloudTrail 记录中,客户可以控制和查看。”
Orca在 AWS中发现了第二个漏洞,该漏洞允许攻击者破坏 CloudFormation 中的服务器,让它们作为 AWS 基础设施服务运行。AWS 客户可以使用 CloudFormation 来预置和管理云资源。
该公司发现了一个 XML 外部实体注入 (XXE) 漏洞,该漏洞允许它代表服务器读取文件并执行 Web 请求。根据 Orca 的说法,攻击者可以利用该漏洞来获得“对 AWS 中任何资源的特权访问”。
据 Orca 称,AWS 也修复了这个缺陷。
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
