亚马逊云服务一行代码三个漏洞,潜伏五年
近日,亚马逊AWS修复了IAM Authenticator for Kubernetes的一行代码中存在的三个身份验证漏洞。这些漏洞在亚马逊Kubernetes托管服务Amazon EKS中存在了多年(自2017年10月12日首次上线以来),可允许攻击者提升Kubernetes集群中的权限。
Lightspin的安全研究主管Gafnit Amiga在漏洞报告中解释说:“我在身份验证过程中发现了几个漏洞,这些漏洞可以绕过对重放攻击的保护,或者允许攻击者通过冒充其他身份在集群中获得更高的权限。”
正如AWS在其安全公告中所指出的,当配置为使用AccessKeyID模板参数时,验证器插件中存在错误代码。不使用AccessKeyID参数的客户不受此问题的影响。
截至6月28日,亚马逊更新了全球所有EKS集群,新版本的AWS IAM Authenticator for Kubernetes修复了该漏洞。这意味着在Amazon EKS中使用AWS IAM Authenticator for Kubernetes的客户不需要做任何事情来修补问题。
但是,托管和管理自己的Kubernetes集群并使用身份验证器插件的AccessKeyID模板参数的所有用户都应将AWS IAM Authenticator for Kubernetes更新到版本0.5.9。
据Amiga称,由于参数验证中的一行代码而发生了被跟踪为CVE-2022-2385的安全问题。这行代码本应该检查参数的大小写——“例如,‘Action’和‘action’,但它没有。”这允许重复的参数名称,不法分子可以使用它来提升权限。
这不是一个很容易利用的漏洞。“因为for循环没有排序,所以参数并不总是按照我们想要的顺序覆盖,因此我们可能需要多次将带有恶意令牌的请求发送到AWS IAM Authenticator服务器。”Amiga指出。
由云安全渗透测试人员创办的Lightspin还发现了亚马逊关系数据库服务(RDS)中的一个本地文件读取漏洞,攻击者可能已利用该漏洞获取对内部AWS凭证的访问权限。到4月,AWS已经应用了一个初始补丁并与客户合作缓解该漏洞。