Amazon Amplify CLI przed wersją 12.10.1 nieprawidłowo konfiguruje politykę zaufania ról IAM powiązanych z projektami Amplify. Podatność może umożliwić nieautoryzowanym podmiotom przejęcie roli AWS i uzyskanie dostępu do zasobów organizacji w chmurze.
▸ Pokaż oryginał (EN)
Amazon AWS Amplify CLI before 12.10.1 incorrectly configures the role trust policy of IAM roles associated with Amplify projects. When the Authentication component is removed from an Amplify project, a Condition property is removed but "Effect":"Allow" remains present, and consequently sts:AssumeRoleWithWebIdentity would be available to threat actors with no conditions. Thus, if Amplify CLI had been used to remove the Authentication component from a project built between August 2019 and January 2024, an "assume role" may have occurred, and may have been leveraged to obtain unauthorized access to an organization's AWS resources. NOTE: the problem could only occur if an authorized AWS user removed an Authentication component. (The vulnerability did not give a threat actor the ability to remove an Authentication component.) However, in realistic situations, an authorized AWS user may have removed an Authentication component, e.g., if the objective were to stop using built-in Cognito resources, or move to a completely different identity provider.
Gdy komponent Authentication jest usuwany z projektu Amplify, narzędzie CLI błędnie pozostawia wpis 'Effect':'Allow' w polityce zaufania roli IAM, jednocześnie usuwając właściwość Condition, która ograniczała zakres zaufania. W rezultacie operacja sts:AssumeRoleWithWebIdentity staje się dostępna bez żadnych warunków dla dowolnego podmiotu zewnętrznego. Sytuacja dotyczy projektów, w których komponent Authentication był usuwany między sierpniem 2019 a styczniem 2024 roku. Warto podkreślić, że sama podatność nie dawała atakującemu możliwości usunięcia komponentu Authentication — wymagało to działania autoryzowanego użytkownika AWS.
Atakujący może wykonać operację 'assume role' na błędnie skonfigurowanej roli IAM i uzyskać nieautoryzowany dostęp do zasobów AWS organizacji, potencjalnie przejmując kontrolę nad jej infrastrukturą chmurową.
Należy zaktualizować Amazon Amplify CLI do wersji 12.10.1 lub nowszej. Dodatkowo zaleca się przegląd polityk zaufania ról IAM powiązanych z projektami Amplify, w których usuwano komponent Authentication we wskazanym okresie, oraz ręczne usunięcie nadmiarowych wpisów 'Effect':'Allow' bez właściwości Condition. Szczegółowe instrukcje dostępne są w biuletynie bezpieczeństwa AWS-2024-003.
Amazon Amplify CLI we wszystkich wersjach przed 12.10.1, w przypadku projektów, w których komponent Authentication był usuwany w okresie od sierpnia 2019 do stycznia 2024 roku
Podatność ma charakter warunkowy — do jej wystąpienia wymagane było wcześniejsze działanie autoryzowanego użytkownika AWS polegające na usunięciu komponentu Authentication z projektu. Biuletyn bezpieczeństwa AWS oznaczony jako AWS-2024-003. Szczegółowa analiza techniczna opublikowana przez Datadog Security Labs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAmazon Amplify Cli
APPAmazon< 12.10.1
Powiązane podatności
Nieprawidłowa walidacja certyfikatów w Amazon Athena ODBC Driver — atak MITM
Niewystarczające zabezpieczenia uwierzytelniania w Amazon Athena ODBC Driver
Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp
Buffer over-read w parserze DNS biblioteki FreeRTOS-Plus-TCP
Improper Neutralization of audio output from 3rd and 4th Generation Amazon Echo Dot devices allows arbitrary v...