日前,Amazon Web Services (AWS) 修复了一个跨租户漏洞,该漏洞可能允许攻击者获得对资源的未授权访问。
亚马逊网络服务 (AWS) 解决了其平台中的跨租户混淆代理问题,该问题可能允许威胁行为者获得对资源的未授权访问。Datadog 的研究人员于 2022年9月1日向公司报告了该问题,并于9月6日修复了该漏洞。
当无权执行某项操作的实体可以强制具有更高权限的实体执行该操作时,就会出现混淆代理问题。如果所有者向第三方(称为 跨账户)或其他 AWS 服务(称为 跨服务)提供对您账户中资源的访问权限,AWS 会提供工具来保护账户。
亚马逊调查了在野外攻击中对该问题的潜在利用,并确定没有客户受到影响。[阅读原文]