AWS AppSync 发现的跨租户漏洞
关键要点
漏洞概述:AWS AppSync 存在跨租户漏洞,可能被攻击者利用以获取组织账户资源访问权限。研究发现:Datadog Security Labs 发现 AWS API 在验证过程中接受带有混合大小写属性的 JSON 有效载荷。修补措施:AWS 在九月发布了补丁,确认未有客户账户受到影响。根据 SecurityWeek 的报道,威胁行为者可能会通过 AWS 的跨租户漏洞利用 Amazon Web Services 的 AppSync,从而获取组织账户的资源访问权限。Datadog Security Labs 的研究人员在发现 AWS API 在验证过程中允许混合大小写属性的 JSON 载荷时,识别出了这一漏洞。攻击者可以利用不同大小写的 ARN 跳过验证。
Datadog 表示:“通过绕过 ARN 验证,我们能够创建与其他 AWS 账户中的角色相关的 AppSync 数据源。这将允许攻击者与任何在信任 AWS AppSync 服务的角色相关的资源进行交互。”对此,AWS 已在九月发布了修补程序,并强调其客户没有受到影响。
AWS 进一步表示:“我们对服务启动以来的日志进行了分析,明确确定与此问题相关的唯一活动是在研究人员拥有的账户之间。没有其他客户账户受到影响。”
漏洞信息细节漏洞类型跨租户影响范围AWS AppSync发现者Datadog Security Labs修复日期2023年9月这次事件引起了业界的广泛关注,提醒了用户在使用云服务时应保持警惕以及及时更新相关服务的安全补丁。
银河加速器app官方下载
