La faille de la galerie publique d’Amazon ECR aurait pu effacer ou empoisonner n’importe quelle image

Une grave faille de sécurité dans la galerie publique Amazon ECR aurait pu permettre à des attaquants de supprimer n’importe quelle image de conteneur ou d’injecter du code malveillant dans les images d’autres comptes AWS.

Amazon ECR Public Gallery est un dépôt public d’images de conteneurs utilisé pour partager des applications prêtes à l’emploi et des distributions Linux populaires, telles que Nginx, EKS Distro, Amazon Linux, l’agent CloudWatch et l’agent Datadog.

Un analyste en sécurité de Lightspin a découvert une nouvelle faille dans la galerie publique ECR où il est possible de modifier des images publiques existantes, des couches, des tags, des registres et des référentiels d’autres utilisateurs en abusant d’actions API non documentées.

De manière caractéristique, les six images de conteneurs les plus téléchargées dans la galerie publique ECR ont fait l’objet de plus de 13 milliards de téléchargements, de sorte que toute injection malveillante dans ces images aurait pu entraîner des infections « hors contrôle ».

Le 14 novembre 2022, un chercheur en sécurité a signalé un problème dans Amazon Elastic Container Registry Public Gallery, un site web public permettant de trouver et de partager des images de conteneurs publics.

Le chercheur a identifié une action de l’API ECR qui, si elle avait été appelée, aurait pu permettre la modification ou la suppression d’images disponibles dans la galerie publique ECR.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.