安全動態(tài)

美國眾議院2023財年擬為網(wǎng)絡安全撥款超1000億元

來源:聚銘網(wǎng)絡    發(fā)布時間:2022-07-15    瀏覽次數(shù):
 

信息來源:安全內參


近日,亞馬遜AWS修復了IAM Authenticator for Kubernetes的一行代碼中存在的三個身份驗證漏洞。這些漏洞在亞馬遜Kubernetes托管服務Amazon EKS中存在了多年(自2017年10月12日首次上線以來),可允許攻擊者提升Kubernetes集群中的權限。

Lightspin的安全研究主管Gafnit Amiga在漏洞報告中解釋說:“我在身份驗證過程中發(fā)現(xiàn)了幾個漏洞,這些漏洞可以繞過對重放攻擊的保護,或者允許攻擊者通過冒充其他身份在集群中獲得更高的權限。”

正如AWS在其安全公告中所指出的,當配置為使用AccessKeyID模板參數(shù)時,驗證器插件中存在錯誤代碼。不使用AccessKeyID參數(shù)的客戶不受此問題的影響。

截至6月28日,亞馬遜更新了全球所有EKS集群,新版本的AWS IAM Authenticator for Kubernetes修復了該漏洞。這意味著在Amazon EKS中使用AWS IAM Authenticator for Kubernetes的客戶不需要做任何事情來修補問題。

但是,托管和管理自己的Kubernetes集群并使用身份驗證器插件的AccessKeyID模板參數(shù)的所有用戶都應將AWS IAM Authenticator for Kubernetes更新到版本0.5.9。

據(jù)Amiga稱,由于參數(shù)驗證中的一行代碼而發(fā)生了被跟蹤為CVE-2022-2385的安全問題。這行代碼本應該檢查參數(shù)的大小寫——“例如,‘Action’和‘a(chǎn)ction’,但它沒有?!边@允許重復的參數(shù)名稱,不法分子可以使用它來提升權限。

這不是一個很容易利用的漏洞?!耙驗閒or循環(huán)沒有排序,所以參數(shù)并不總是按照我們想要的順序覆蓋,因此我們可能需要多次將帶有惡意令牌的請求發(fā)送到AWS IAM Authenticator服務器?!盇miga指出。

由云安全滲透測試人員創(chuàng)辦的Lightspin還發(fā)現(xiàn)了亞馬遜關系數(shù)據(jù)庫服務(RDS)中的一個本地文件讀取漏洞,攻擊者可能已利用該漏洞獲取對內部AWS憑證的訪問權限。到4月,AWS已經(jīng)應用了一個初始補丁并與客戶合作緩解該漏洞。


 
 

上一篇:踐行總體國家安全觀,推動網(wǎng)絡安全漏洞治理體系建設

下一篇:2022年7月15日聚銘安全速遞