新加坡aws亚马逊云计算代理商:亚马逊AWS云AppSync服务曝跨租户漏洞,可未授权访问资源

2022-12-12 23:19:17 编辑:admin 阅读:
导读新加坡aws亚马逊云计算代理商:亚马逊AWS云AppSync服务曝跨租户漏洞,可未授权访问资源,AWS AppSync为开发人员提供 GraphQL API 来检索或修改来自多个数据源的数据,以及在移动和 Web 应用程序与云之间自动同步数据。该服务还可用于通过特定角色与其他 AWS 服务集成,这些角色旨在使用所需的 IAM 权限执行必要的 API 调用。

  新加坡aws亚马逊云计算代理商:亚马逊AWS云AppSync服务曝跨租户漏洞,可未授权访问资源

  聚搜云(www.4526.cn)是上海聚搜信息技术有限公司旗下品牌,坐落于魔都上海,服务于全球、2019年成为阿里云代理商生态合作伙伴。与阿里云代理商、腾讯云华为云、西部数码、美橙互联、谷歌云、AWS亚马逊云国际站代理商、聚搜云,长期战略合作的计划!阿里云国际站代理商专业的云服务商!

  新加坡aws亚马逊云计算代理商:亚马逊AWS云AppSync服务曝跨租户漏洞,可未授权访问资源

  近日,亚马逊 AWS 云计算平台中解决了其平台中的一个跨租户安全漏洞,攻击者可以利用该安全漏洞获得对资源的未授权访问。

  该漏洞与混淆代理问题有关,这是一种特权升级,在这种情况下,无权执行某项操作的程序可以强制拥有更高特权的实体执行该操作。安全研究人员于2022年9月1日向亚马逊AWS报告了该漏洞,随后于9月6日发布了修复补丁。

  根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,这种攻击滥用 AppSync 服务在其他 AWS 账户中的身份和访问管理角色,这允许攻击者转向受害组织并访问这些账户中的资源。

  极牛攻防实验室将其描述为 AWS AppSync 中的区分大小写的解析问题,可能会被用来绕过该服务的跨账户角色使用验证,并作为跨客户账户的服务采取行动。

  AWS AppSync为开发人员提供 GraphQL API 来检索或修改来自多个数据源的数据,以及在移动和 Web 应用程序与云之间自动同步数据。该服务还可用于通过特定角色与其他 AWS 服务集成,这些角色旨在使用所需的 IAM 权限执行必要的 API 调用。

  虽然 AWS 确实有适当的保护措施通过验证角色的 Amazon 资源名称 (ARN) 来防止 AppSync 担任任意角色,但问题源于这样一个事实,即可以通过以小写形式传递 serviceRoleArn 参数来轻松绕过检查。然后可以利用此行为来提供不同 AWS 账户中角色的标识符。

  AWS AppSync 中的这个漏洞允许攻击者跨越账户边界并通过信任 AppSync 服务的 IAM 角色在受害者账户中执行 AWS API 调用,通过使用这种方法,攻击者可以破坏使用 AppSync 的组织并获得对与这些角色关联的资源的访问权限。

  作者:拼客科技,登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。更多文章请访问:www.673040.com

温馨提示:需要上述业务或相关服务,请加客服QQ【582059487】或点击网站在线咨询,与我们沟通。

版权说明本站部分内容来自互联网,仅用于信息分享和传播,内容如有侵权,请联系本站删除!转载请保留金推网原文链接,并在文章开始或结尾处标注“文章来源:金推网”, 腾讯云11·11优惠券/阿里云11·11优惠券
相关阅读
最新发布
热门阅读