CVE-2024-37293 in aws-deployment-framework
Zusammenfassung
von VulDB • 27.05.2026
Das AWS Deployment Framework (ADF) ist ein Framework zur Verwaltung und Bereitstellung von Ressourcen über mehrere AWS-Konten und -Regionen innerhalb einer AWS Organization hinweg. ADF ermöglicht gestaffelte, parallele, multi-account- und cross-region-Bereitstellungen von Anwendungen oder Ressourcen gemäß der in AWS Organizations definierten Struktur und nutzt dabei Dienste wie AWS CodePipeline, AWS CodeBuild und AWS CodeCommit, um im Vergleich zu einem traditionellen CI/CD-Setup den Verwaltungsaufwand zu reduzieren. ADF enthält einen Bootstrap-Prozess, der für die Bereitstellung der Bootstrap-Stacks von ADF verantwortlich ist, um multi-account cross-region-Bereitstellungen zu erleichtern. Der ADF-Bootstrap-Prozess benötigt erhöhte Berechtigungen, um diese Aufgabe auszuführen. Es existieren zwei Versionen des Bootstrap-Prozesses: eine Code-Änderung getriebene Pipeline unter Verwendung von AWS CodeBuild und eine ereignisgesteuerte State Machine unter Verwendung von AWS Lambda. Wenn ein Akteur über Berechtigungen verfügt, das Verhalten des CodeBuild-Projekts oder der Lambda-Funktion zu ändern, kann er seine Berechtigungen eskalieren.
Vor Version 4.0.0 bietet die Bootstrap-CodeBuild-Rolle Zugriff auf den `sts:AssumeRole`-Betrieb ohne weitere Einschränkungen. Daher kann sie jede AWS-Konten in der AWS Organization unter Annahme der durch die cross-account-Zugriffsrolle bereitgestellten erhöhten Berechtigungen übernehmen. Standardmäßig ist diese Rolle bei der Erstellung durch AWS Organizations nicht eingeschränkt und bietet Administrator-Level-Zugriff auf die AWS-Ressourcen im AWS-Konto. Die Patches für dieses Problem sind in der Version 4.0.0 von `aws-deployment-framework` enthalten.
Als vorübergehende Abhilfemaßnahme fügen Sie eine Berechtigungsgrenze (Permissions Boundary) zu den von ADF im Management-Konto erstellten Rollen hinzu. Die Berechtigungsgrenze sollte alle IAM- und STS-Aktionen verbieten. Diese Berechtigungsgrenze sollte vorhanden sein, bis Sie ADF aktualisieren oder ein neues Konto bootstrappen. Während die Berechtigungsgrenze vorhanden ist, können das Kontomanagement und das Bootstrapping von Konten keine Rollen erstellen, aktualisieren oder übernehmen. Dies mildert das Risiko der Berechtigungseskalation, schränkt jedoch auch die Fähigkeit von ADF ein, Konten zu erstellen, zu verwalten und zu bootstrappen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.