Une grave faille de sécurité dans la galerie publique Amazon ECR aurait pu permettre à des attaquants de supprimer n’importe quelle image de conteneur ou d’injecter du code malveillant dans les images d’autres comptes AWS.
Amazon ECR Public Gallery est un dépôt public d’images de conteneurs utilisé pour partager des applications prêtes à l’emploi et des distributions Linux populaires, telles que Nginx, EKS Distro, Amazon Linux, l’agent CloudWatch et l’agent Datadog.
Un analyste en sécurité de Lightspin a découvert une nouvelle faille dans la galerie publique ECR où il est possible de modifier des images publiques existantes, des couches, des tags, des registres et des référentiels d’autres utilisateurs en abusant d’actions API non documentées.
De manière caractéristique, les six images de conteneurs les plus téléchargées dans la galerie publique ECR ont fait l’objet de plus de 13 milliards de téléchargements, de sorte que toute injection malveillante dans ces images aurait pu entraîner des infections « hors contrôle ».
Le 14 novembre 2022, un chercheur en sécurité a signalé un problème dans Amazon Elastic Container Registry Public Gallery, un site web public permettant de trouver et de partager des images de conteneurs publics.
Le chercheur a identifié une action de l’API ECR qui, si elle avait été appelée, aurait pu permettre la modification ou la suppression d’images disponibles dans la galerie publique ECR.