近日，亞馬遜雲服務被曝正在修補所謂的“強力膠”（Superglue）漏洞。此外還有一個被稱作AWS CloudFormation 的Bug，攻擊者可利用它們摸到其他用戶的敏感數據。Orca 安全研究團隊率先披露了AWS 工具中的缺陷，慶幸的是兩個Bug 都已得到完全修補。

（來自：Orca Security）

首先聊聊Superglue 漏洞，用戶可藉此訪問其他AWS Glue 用戶管理的信息。

AWS 官方宣稱Glue 是一項無服務器的數據集成服務，旨在輕鬆發現、準備和組合那些用於分析、機器學習和應用程序開發的數據。

事實上，亞馬遜服務的體量著實龐大，以至於Glue 用戶能夠免費存儲多達百萬個對象。

Orca 指出—— 我們能夠識別AWS Glue 中的一項功能，它可用於獲取AWS 官方服務賬戶中的某個角色的憑證，從而賦予了對內部服務API 的完全訪問權限。

結合內部錯誤配置和Glue 內部訪問API，我們得以將帳戶內的權限進一步提升至不受限的水平，包括以完全的管理權限訪問某個區域的所有資源。

在受Glue 服務信任的AWS 客戶賬戶中，至少都有一個類似角色的賬戶。

得逞後，攻擊者能夠查詢和修改區域內的相關資源，包括但不限於Glue 作業、開發端點、工作流、爬蟲、觸發器等元數據。

Orca 證實—— 其已確認通過該漏洞控制眾多賬戶、以訪問其他AWS Glue 用戶管理的信息的能力。

慶幸的是，漏洞披露不久後，亞馬遜在數小時內就做出了回應，並於第二日實施了部分緩解，直到數日後徹底封堵了相關問題。

第二個漏洞影響到了AWS CloudFormation，通過將基礎設施視作代碼， 用戶可對第一和第三方資源開展建模、預置和管理。

這種“基礎設施即代碼”的範式，已於近年來愈加受到客戶的青睞。在遷移至雲端的時候，其配置與維護的便利性也相當出眾。

然而被稱作BreakingFormation的第二個Bug，卻可被用於洩露在易受攻擊的服務器上發現的機密文件。

此外服務器端請求（SSRF）易受未經授權披露內部AWS 基礎設施服務憑證的影響—— 慶幸的是，該漏洞在向AWS 披露六天內完成了徹底修復。

最後，Bleeping Computer 分享了AWS 副總裁Colm MacCárthaigh 在Twitter 上披露的與BreakingFormation 漏洞有關的更多細節，且一開始就承認了Orca 能夠獲得對所有AWS 賬戶資源的訪問權限的說法。

然後Orca 首席技術官Yoav Alon 回應稱CloudFormation 的暴露範圍，並不像最初預期的那樣廣泛。

我們立即向AWS 通報了該問題，後者迅速採取了行動來解決這個問題。

AWS 安全團隊在不到25 小時內編寫了首個修復程序，並於6 日內落實到了所有AWS 區域。

Orca 安全研究人員幫助測試了修復補丁，以確保妥善解決相關問題，且我們能夠驗證其不會再遭到利用。