AWS曝一键式漏洞,攻击者可接管Apache Airflow服务
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
AWS修复了一个关键漏洞,该漏洞允许攻击者接管Amazon Apache Airflow (MWAA)托管的工作流程。漏洞名为FlowFixation,可能允许攻击者完全控制AWS服务上的客户账户。网络安全公司Tenable发现了这个漏洞,并建议用户更新补丁。该漏洞难以利用,但Tenable还发现了一个更严重的安全问题,可能在不久的将来造成损害。AWS已经修复了漏洞并为用户提供了更新。Apache Airflow (MWAA)是亚马逊提供的一个完全托管的服务,简化了在AWS上运行开源Apache Airflow以执行ETL作业和数据流水线的过程。
🎯
关键要点
- AWS修复了一个关键漏洞,攻击者可接管Amazon Apache Airflow (MWAA)托管工作流。
- 该漏洞名为FlowFixation,可能导致攻击者完全控制客户在AWS服务上的账户。
- 网络安全公司Tenable发现了该漏洞,并建议用户及时更新补丁。
- 虽然漏洞利用较为复杂,但Tenable还发现了一个更严重的安全问题,可能在未来造成损害。
- Apache Airflow (MWAA)是亚马逊提供的全托管服务,简化了在AWS上运行开源Apache Airflow的过程。
- FlowFixation漏洞的实现与MWAA网络管理面板中的会话固定和AWS域名配置错误有关。
- 攻击者可利用该漏洞强迫受害者使用已知会话,接管受害者的网络管理面板。
- Tenable还揭示了共享父域和公共后缀列表(PSL)相关的同站点攻击问题。
- AWS和微软已采取措施减轻Tenable报告中的风险,AWS在2023年9月进行了修复。
- AWS已通知用户通过控制台、API或命令行界面进行更新修复。
🏷️
标签
➡️
