Amazon Web Services a résolu une vulnérabilité de sa plateforme qui pouvait être utilisée par un attaquant pour obtenir un accès non autorisé à des ressources.
« Cette attaque abuse du service AppSync pour assumer des rôles dans d’autres comptes AWS, ce qui permet à un attaquant de s’introduire dans une organisation victime et d’accéder aux ressources de ces comptes », a déclaré Nick Frichette, chercheur chez Datadog, dans un rapport publié la semaine dernière.
AWS AppSync offre aux développeurs des API GraphQL pour récupérer ou modifier des données à partir de plusieurs sources de données, ainsi que pour synchroniser automatiquement les données entre les applications mobiles et web et le nuage.
Le service peut également être utilisé pour intégrer d’autres services AWS grâce à des rôles spécifiques conçus pour effectuer les appels d’API nécessaires avec les autorisations IAM requises.
Bien qu’AWS ait mis en place des mesures de protection pour empêcher AppSync d’assumer des rôles arbitraires en validant le nom de ressource Amazon du rôle, le problème vient du fait que la vérification pourrait être trivialement contournée en passant le paramètre « ServiceRoleArn » en minuscules.
« Cette vulnérabilité dans AWS AppSync permet aux attaquants de franchir les limites des comptes et d’exécuter des appels API AWS dans les comptes des victimes via les rôles IAM qui font confiance au service AppSync », a déclaré M. Frichette.