亚马逊AWS云AppSync服务曝跨租户漏洞，可未授权访问资源

近日，亚马逊 AWS 云计算平台中解决了其平台中的一个跨租户安全漏洞，攻击者可以利用该安全漏洞获得对资源的未授权访问。

该漏洞与混淆代理问题有关，这是一种特权升级，在这种情况下，无权执行某项操作的程序可以强制拥有更高特权的实体执行该操作。安全研究人员于2022年9月1日向亚马逊AWS报告了该漏洞，随后于9月6日发布了修复补丁。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这种攻击滥用 AppSync 服务在其他 AWS 账户中的身份和访问管理角色，这允许攻击者转向受害组织并访问这些账户中的资源。

极牛攻防实验室将其描述为 AWS AppSync 中的区分大小写的解析问题，可能会被用来绕过该服务的跨账户角色使用验证，并作为跨客户账户的服务采取行动。

AWS AppSync为开发人员提供 GraphQL API 来检索或修改来自多个数据源的数据，以及在移动和 Web 应用程序与云之间自动同步数据。该服务还可用于通过特定角色与其他 AWS 服务集成，这些角色旨在使用所需的 IAM 权限执行必要的 API 调用。

虽然 AWS 确实有适当的保护措施通过验证角色的 Amazon 资源名称 (ARN) 来防止 AppSync 担任任意角色，但问题源于这样一个事实，即可以通过以小写形式传递 serviceRoleArn 参数来轻松绕过检查。然后可以利用此行为来提供不同 AWS 账户中角色的标识符。

AWS AppSync 中的这个漏洞允许攻击者跨越账户边界并通过信任 AppSync 服务的 IAM 角色在受害者账户中执行 AWS API 调用，通过使用这种方法，攻击者可以破坏使用 AppSync 的组织并获得对与这些角色关联的资源的访问权限。