CVE-2024-37293 in aws-deployment-framework
Riassunto
di VulDB • 17/06/2026
Il AWS Deployment Framework (ADF) è un framework per gestire e distribuire risorse su più account AWS e regioni all'interno di un'organizzazione AWS. ADF consente distribuzioni scalari, parallele, multi-account e cross-region di applicazioni o risorse tramite la struttura definita in AWS Organizations, sfruttando servizi come AWS CodePipeline, AWS CodeBuild e AWS CodeCommit per alleggerire il carico di lavoro e la gestione rispetto a un'architettura CI/CD tradizionale. ADF include un processo di bootstrap responsabile della distribuzione degli stack di bootstrap di ADF per facilitare le distribuzioni multi-account e cross-region. Il processo di bootstrap di ADF si basa su privilegi elevati per eseguire questo compito. Esistono due versioni del processo di bootstrap: una pipeline guidata da modifiche al codice che utilizza AWS CodeBuild e una macchina a stati guidata da eventi che utilizza AWS Lambda. Se un attore ha i permessi per modificare il comportamento del progetto CodeBuild o della funzione Lambda, potrebbe essere in grado di escalare i propri privilegi.
Prima della versione 4.0.0, il ruolo CodeBuild di bootstrap fornisce accesso all'operazione `sts:AssumeRole` senza ulteriori restrizioni. Di conseguenza, è in grado di assumere qualsiasi ruolo in qualsiasi account AWS dell'organizzazione AWS con i privilegi elevati forniti dal ruolo di accesso cross-account. Per impostazione predefinita, questo ruolo non è ristretto quando viene creato da AWS Organizations, fornendo un accesso di livello Administrator alle risorse AWS nell'account AWS. Le patch per questo problema sono incluse nella versione 4.0.0 di `aws-deployment-framework`.
Come mitigazione temporanea, aggiungere un permissions boundary ai ruoli creati da ADF nell'account di gestione. Il permissions boundary dovrebbe negare tutte le azioni IAM e STS. Questo permissions boundary dovrebbe essere applicato fino a quando non si aggiorna ADF o si effettua il bootstrap di un nuovo account. Mentre il permissions boundary è attivo, la gestione dell'account e il bootstrap degli account non sono in grado di creare, aggiornare o assumere ruoli. Questo mitiga il rischio di escalation dei privilegi, ma disabilita anche la capacità di ADF di creare, gestire ed effettuare il bootstrap degli account.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.