awslabs aws-deployment-framework hasta 3.x escalada de privilegios

CVSS Puntuación meta temporalPrecio actual del exploit (≈)Puntuación de interés CTI
7.1$0-$5k0.00

Resumeninformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en awslabs aws-deployment-framework hasta 3.x. Resulta afectada una función desconocida. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esta vulnerabilidad se registra como CVE-2024-37293. El ataque debe abordarse localmente. No se encuentra disponible ningún exploit. Se sugiere actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad clasificada como crítica fue encontrada en awslabs aws-deployment-framework hasta 3.x. Una función desconocida es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:

AWS Deployment Framework (ADF) es un framework para administrar e implementar recursos en múltiples cuentas y regiones de AWS dentro de una organización de AWS. ADF permite implementaciones de aplicaciones o recursos por etapas, paralelas, de múltiples cuentas y entre regiones a través de la estructura definida en AWS Organizations, al tiempo que aprovecha servicios como AWS CodePipeline, AWS CodeBuild y AWS CodeCommit para aliviar el trabajo pesado y la administración en comparación a una configuración CI/CD tradicional. ADF contiene un proceso de arranque que es responsable de implementar las pilas de arranque de ADF para facilitar las implementaciones de múltiples cuentas entre regiones. El proceso de arranque de ADF depende de privilegios elevados para realizar esta tarea. Existen dos versiones del proceso de arranque; una canalización impulsada por cambios de código que utiliza AWS CodeBuild y una máquina de estado impulsada por eventos que utiliza AWS Lambda. Si un actor tiene permisos para cambiar el comportamiento del proyecto CodeBuild o la función Lambda, podrá aumentar sus privilegios. Antes de la versión 4.0.0, la función de arranque CodeBuild proporciona acceso a la operación `sts:AssumeRole` sin más restricciones. Por lo tanto, puede asumir cualquier cuenta de AWS en la organización de AWS con los privilegios elevados proporcionados por la función de acceso entre cuentas. De forma predeterminada, esta función no está restringida cuando la crea AWS Organizations, lo que proporciona acceso de nivel de administrador a los recursos de AWS en la cuenta de AWS. Los parches para este problema se incluyen en la versión 4.0.0 de `aws-deployment-framework`. Como mitigación temporal, agregue un límite de permisos a los roles creados por ADF en la cuenta de administración. El límite de permisos debe denegar todas las acciones de IAM y STS. Este límite de permisos debe estar vigente hasta que actualice ADF o inicie una nueva cuenta. Mientras el límite de permisos esté vigente, la administración de cuentas y el arranque de cuentas no pueden crear, actualizar ni asumir roles. Esto mitiga el riesgo de escalada de privilegios, pero también desactiva la capacidad de ADF para crear, administrar y arrancar cuentas.

El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-37293. Resulta difícil de explotar. El ataque sólo se debe hacer local. La explotación necesita de una verificación múltiple de la autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Una actualización a la versión 4.0.0 elimina esta vulnerabilidad. La actualización se puede descargar de github.com. Aplicando un parche es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Productoinformación

Proveedor

Nombre

Versión

Sitio web

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 7.2
VulDB Puntuación meta temporal: 7.1

VulDB Puntuación base: 6.4
VulDB Puntuación temporal: 6.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 7.8
NVD Vector: 🔍

CNA Puntuación base: 7.5
CNA Vector (GitHub, Inc.): 🔍

CVSSv2información

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Escalada de privilegios
CWE: CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Físico: En parte
Local: Sí
Remoto: No

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HoyDesbloquearDesbloquearDesbloquearDesbloquear

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔍

Actualización: aws-deployment-framework 4.0.0
Parche: github.com

Línea de tiempoinformación

2024-06-05 🔍
2024-06-11 +6 días 🔍
2024-06-11 +0 días 🔍
2024-08-17 +67 días 🔍

Fuentesinformación

Producto: github.com

Aviso: GHSA-mcj7-ppmv-h6jr
Estado: Confirmado

CVE: CVE-2024-37293 (🔍)
GCVE (CVE): GCVE-0-2024-37293
GCVE (VulDB): GCVE-100-268057

Artículoinformación

Fecha de creación: 2024-06-11 19:48
Actualizado: 2024-08-17 08:50
Cambios: 2024-06-11 19:48 (65), 2024-06-14 07:45 (1), 2024-08-17 08:50 (12)
Completo: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discusión

Sin comentarios aún. Idiomas: es + pt + en.

Por favor, inicie sesión para comentar.

Do you need the next level of professionalism?

Upgrade your account now!