Pesquisadores de segurança cibernética da empresa Aqua revelaram uma falha de segurança que afeta o Amazon Web Services (AWS) Cloud Development Kit (CDK), e que pode permitir a invasão de uma conta, ainda que em circunstâncias específicas. “O impacto desse problema pode, em certos cenários, permitir que um invasor obtenha acesso administrativo a uma conta alvo da AWS, resultando em uma tomada de controle total da conta”, disseram em relatório Ofek Itach e Yakir Kadkoda, pesquisadores da Aqua.
Leia também
CEO da AWS prenuncia fim dos desenvolvedores
Vulnerabilidade crítica em seis serviços da nuvem AWS
Após divulgação responsável da falha em 27 de junho de 2024, o problema foi resolvido pelos mantenedores do projeto na versão 2.149.0 do CDK, publicada em julho. No entanto, usuários das versões anteriores precisam protegê-las fazendo upgrade e rodando novamente o comando de bootstrap do cdk. O AWS CDK é uma estrutura de desenvolvimento de software de código aberto para definir recursos de aplicativos em nuvem usando Python, TypeScript ou JavaScript e provisioná-los via CloudFormation.
O problema identificado pela Aqua se baseia em descobertas anteriores da empresa em recursos ocultos na AWS, entre os quais convenções de nomenclatura predefinidas para buckets do AWS Simple Storage Service (S3) – elas podem ser utilizadas como vantagens de intrusos para orquestrar ataques de Bucket Monopoly e obter acesso a dados confidenciais.