CVE-2024-37293 in aws-deployment-framework정보

요약

\~에 의해 VulDB • 2026. 05. 11.

AWS Deployment Framework(ADF)는 AWS Organization 내의 여러 AWS 계정과 리전 전반에 걸쳐 리소스를 관리하고 배포하기 위한 프레임워크입니다. ADF는 AWS Organizations에서 정의된 구조를 통해 AWS CodePipeline, AWS CodeBuild, AWS CodeCommit과 같은 서비스를 활용하여 전통적인 CI/CD 설정에 비해 부담을 덜고 관리 부담을 줄이면서 애플리케이션 또는 리소스의 단계적, 병렬, 다중 계정, 크로스 리전 배포를 가능하게 합니다. ADF에는 다중 계정 크로스 리전 배포를 촉진하기 위해 ADF의 부트스트랩 스택을 배포하는 역할을 하는 부트스트랩 프로세스가 포함되어 있습니다. ADF 부트스트랩 프로세스는 이 작업을 수행하기 위해 상승된 권한(elevated privileges)에 의존합니다. 부트스트랩 프로세스에는 두 가지 버전이 존재합니다. AWS CodeBuild를 사용하는 코드 변경 기반 파이프라인과 AWS Lambda를 사용하는 이벤트 기반 상태 머신입니다. 만약 CodeBuild 프로젝트 또는 Lambda 함수의 동작을 변경할 수 있는 권한을 가진 행위자가 있다면, 해당 행위자는 자신의 권한을 상승시킬 수 있습니다.

버전 4.0.0 이전에서는 부트스트랩 CodeBuild 역할이 추가적인 제한 없이 `sts:AssumeRole` 작업에 대한 접근 권한을 제공합니다. 따라서 이 역할은 크로스 계정 접근 역할이 제공하는 상승된 권한을 사용하여 AWS Organization 내의 모든 AWS 계정으로 역할을 승계할 수 있습니다. 기본적으로 AWS Organizations에 의해 생성될 때 이 역할에는 제한이 없으며, AWS 계정 내의 AWS 리소스에 대한 Administrator 수준의 접근 권한을 제공합니다. 이 문제에 대한 패치는 `aws-deployment-framework` 버전 4.0.0에 포함되어 있습니다.

임시 완화 조치로, 관리 계정에서 ADF가 생성한 역할에 권한 경계(permissions boundary)를 추가하십시오. 권한 경계는 모든 IAM 및 STS 작업을 거부해야 합니다. 이 권한 경계는 ADF를 업그레이드하거나 새 계정을 부트스트랩할 때까지 유지되어야 합니다. 권한 경계가 적용된 동안 계정 관리 및 계정 부트스트랩 과정에서 역할을 생성, 업데이트 또는 승계할 수 없게 됩니다. 이는 권한 상승 위험을 완화하지만, ADF가 계정을 생성, 관리 및 부트스트랩하는 기능도 비활성화합니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub, Inc.

예약하다

2024. 06. 05.

모더레이션

수락

항목

VDB-268057

EPSS

0.00245

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!