AWS 云开发工具漏洞可能导致 AWS 账户被彻底接管

文章预览

作者 | Sergio De Simone 译者 | 马可薇 策划 | Tina 安全公司 Aqua 在 AWS 云开发工具（CDK）中发现了一个新漏洞：手动删除 AWS S3 存储桶的对象可能导致黑客完全接管目标的 AWS 账户。虽然 AWS 已经修复了该漏洞，但如果使用的 CDK 为 v2.148.1 或更早版本，则仍需采取行动。 AWS 云开发工具（CDK）是一款 IaC 工具，允许开发人员使用 Python、TypeScript 或 JavaScript 定义云基础设施。 Aqua 安全研究人员 Ofek Itach 和 Yakir Kadkoda 解释说，该漏洞本质在于 CDK 在 S3 存储桶命名上过于随意，这些都是 CDK 用来存储那些根据用户需求创建 AWS 基础架构启动过程所需的文件，而其中的文件都存在了一个命名模式为 cdk-{Qualifier}-{Description}-{Account-ID}-{Region} （{cdk}-{限定符}-{描述}-{Account ID}-{地区}）的 S3 存储桶中。 虽然用户可以在运行 CDK 时指定要使用的 Qualifier，但是， 由于许多 ………………………………