CRITICAL✓ PATCH🇬🇧 English

CVE-2024-28056

Amazon Amplify CLI — błędna konfiguracja polityki IAM umożliwia nieautoryzowane przejęcie roli

CVSS 9.8v3.1pub. 2024-04-15upd. 2025-06-30

Amazon Amplify CLI przed wersją 12.10.1 nieprawidłowo konfiguruje politykę zaufania ról IAM powiązanych z projektami Amplify. Podatność może umożliwić nieautoryzowanym podmiotom przejęcie roli AWS i uzyskanie dostępu do zasobów organizacji w chmurze.

Pokaż oryginał (EN)

Amazon AWS Amplify CLI before 12.10.1 incorrectly configures the role trust policy of IAM roles associated with Amplify projects. When the Authentication component is removed from an Amplify project, a Condition property is removed but "Effect":"Allow" remains present, and consequently sts:AssumeRoleWithWebIdentity would be available to threat actors with no conditions. Thus, if Amplify CLI had been used to remove the Authentication component from a project built between August 2019 and January 2024, an "assume role" may have occurred, and may have been leveraged to obtain unauthorized access to an organization's AWS resources. NOTE: the problem could only occur if an authorized AWS user removed an Authentication component. (The vulnerability did not give a threat actor the ability to remove an Authentication component.) However, in realistic situations, an authorized AWS user may have removed an Authentication component, e.g., if the objective were to stop using built-in Cognito resources, or move to a completely different identity provider.

🤖 Analiza AI
Jak działa

Gdy komponent Authentication jest usuwany z projektu Amplify, narzędzie CLI błędnie pozostawia wpis 'Effect':'Allow' w polityce zaufania roli IAM, jednocześnie usuwając właściwość Condition, która ograniczała zakres zaufania. W rezultacie operacja sts:AssumeRoleWithWebIdentity staje się dostępna bez żadnych warunków dla dowolnego podmiotu zewnętrznego. Sytuacja dotyczy projektów, w których komponent Authentication był usuwany między sierpniem 2019 a styczniem 2024 roku. Warto podkreślić, że sama podatność nie dawała atakującemu możliwości usunięcia komponentu Authentication — wymagało to działania autoryzowanego użytkownika AWS.

Skutki

Atakujący może wykonać operację 'assume role' na błędnie skonfigurowanej roli IAM i uzyskać nieautoryzowany dostęp do zasobów AWS organizacji, potencjalnie przejmując kontrolę nad jej infrastrukturą chmurową.

Mitygacja

Należy zaktualizować Amazon Amplify CLI do wersji 12.10.1 lub nowszej. Dodatkowo zaleca się przegląd polityk zaufania ról IAM powiązanych z projektami Amplify, w których usuwano komponent Authentication we wskazanym okresie, oraz ręczne usunięcie nadmiarowych wpisów 'Effect':'Allow' bez właściwości Condition. Szczegółowe instrukcje dostępne są w biuletynie bezpieczeństwa AWS-2024-003.

Kogo dotyczy

Amazon Amplify CLI we wszystkich wersjach przed 12.10.1, w przypadku projektów, w których komponent Authentication był usuwany w okresie od sierpnia 2019 do stycznia 2024 roku

Uwagi

Podatność ma charakter warunkowy — do jej wystąpienia wymagane było wcześniejsze działanie autoryzowanego użytkownika AWS polegające na usunięciu komponentu Authentication z projektu. Biuletyn bezpieczeństwa AWS oznaczony jako AWS-2024-003. Szczegółowa analiza techniczna opublikowana przez Datadog Security Labs.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Amazon Amplify Cli

    APP
    Amazon
    < 12.10.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-35560CRITICAL9.1PL ✓ten sam vendor

Nieprawidłowa walidacja certyfikatów w Amazon Athena ODBC Driver — atak MITM

CVE-2026-35561CRITICAL9.1PL ✓ten sam vendor

Niewystarczające zabezpieczenia uwierzytelniania w Amazon Athena ODBC Driver

CVE-2025-20286CRITICAL9.9PL ✓ten sam vendor

Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp

CVE-2024-38373CRITICAL9.6PL ✓ten sam vendor

Buffer over-read w parserze DNS biblioteki FreeRTOS-Plus-TCP

CVE-2022-25809CRITICAL9.8ten sam vendor

Improper Neutralization of audio output from 3rd and 4th Generation Amazon Echo Dot devices allows arbitrary v...

CVE-2024-28056 — Amazon Amplify CLI — błędna konfiguracja polityki IAM umożliwia nieautoryzowane przejęcie roli — CRITICAL 9.8 | CVEbaza.pl