Des chercheurs décrivent la vulnérabilité inter-locataires d’AppSync dans les services Web d’Amazon

Amazon Web Services a résolu une vulnérabilité de sa plateforme qui pouvait être utilisée par un attaquant pour obtenir un accès non autorisé à des ressources.

« Cette attaque abuse du service AppSync pour assumer des rôles dans d’autres comptes AWS, ce qui permet à un attaquant de s’introduire dans une organisation victime et d’accéder aux ressources de ces comptes », a déclaré Nick Frichette, chercheur chez Datadog, dans un rapport publié la semaine dernière.

AWS AppSync offre aux développeurs des API GraphQL pour récupérer ou modifier des données à partir de plusieurs sources de données, ainsi que pour synchroniser automatiquement les données entre les applications mobiles et web et le nuage.

Le service peut également être utilisé pour intégrer d’autres services AWS grâce à des rôles spécifiques conçus pour effectuer les appels d’API nécessaires avec les autorisations IAM requises.

Bien qu’AWS ait mis en place des mesures de protection pour empêcher AppSync d’assumer des rôles arbitraires en validant le nom de ressource Amazon du rôle, le problème vient du fait que la vérification pourrait être trivialement contournée en passant le paramètre « ServiceRoleArn » en minuscules.

« Cette vulnérabilité dans AWS AppSync permet aux attaquants de franchir les limites des comptes et d’exécuter des appels API AWS dans les comptes des victimes via les rôles IAM qui font confiance au service AppSync », a déclaré M. Frichette.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.