AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性 - イノベトピア
AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性 Last Updated on 2024-10-25 08:42 by admin Aqua Securityのセキュリティ研究チームは、AWSの6つのサービス(CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStar)に重大な脆弱性を発見した。この発見は2024年8月のBlack Hat USAカンファレンスで発表された。 脆弱性の概要 – AWS Cloud Development Kit (CDK)のデフォルトのS3バケット命名パターンが予測可能で、攻撃者による悪用が可能 – 攻撃者は未使用のAWSリージョンで事前にS3バケットを作成し、被害者がそのリージョンでサービスを使用するのを待つことができる – こ
AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
Miggo Securityは2024年8月20日(現地時間)、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱(ぜいじゃく)性「ALBeast」があると発表した。ALBeastはALBを認証機能として使用するアプリケーションにおいて認証バイパスを可能にするものだ。影響を受けるアプリケーションは1万5000以上におよぶ。 AWS ALBの認証機能に隠れた脆弱性「ALBeast」 ただし、AWSは脆弱性とは認めず、「サービスは意図された通りに動いている」と述べた。その理由は何か。また、ALBeastが悪用されるとどのような危険性があるのだろうか。 ALBeastはALBの認証メカニズムに依存しているインターネットに公開されたアプリケーションにおいて、攻撃者が認証や承認のプロセスをバイパスできる構成ベースの欠陥とされている。悪用された場合は不正アクセスやデータ侵害、情
XSS in the AWS Console
XSS in the AWS ConsoleJune 3, 2021As I had posted about on Twitter, I had recently started a side project to fuzz the AWS API. This was the logical next step to my previous work on the subject. To support it, I’ve had to build my own library for manually crafting AWS API requests, and mutating them. I think it would have been a very fruitful research path to go down, however I managed to fuzz my w
Amazon inspector で自動セキュリティ診断
Amazon Inspector is a security assessment service launched in 2016 that helps users evaluate the security state of their AWS environments. It examines compute instances like EC2 for vulnerabilities and deviations from security best practices, standards, and guidelines. Users can initiate on-demand or scheduled assessments of their environments through the Inspector console or APIs to identify any
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
