Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los investigadores detallan la vulnerabilidad entre inquilinos de AppSync en Amazon Web Services
  • Tecnología

Los investigadores detallan la vulnerabilidad entre inquilinos de AppSync en Amazon Web Services

teknomers 28 de Kasım de 2022 (Last updated: 28 de Kasım de 2022) 3 minutes read
Los investigadores detallan la vulnerabilidad entre inquilinos de AppSync en


Amazon Web Services (AWS) ha resuelto una vulnerabilidad entre inquilinos en su plataforma que un atacante podría utilizar como arma para obtener acceso no autorizado a los recursos.

El asunto se relaciona con un problema del diputado confundidoun tipo de escalada de privilegios donde un programa que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.

Datadog informó la deficiencia a AWS el 1 de septiembre de 2022, luego de lo cual se envió un parche el 6 de septiembre.

“Este ataque abusa del servicio AppSync para asumir [identity and access management] papeles en otras cuentas de AWS, lo que permite a un atacante pasar a la organización víctima y acceder a los recursos de esas cuentas”, dijo Nick Frichette, investigador de Datadog. dijo en un informe publicado la semana pasada.

La seguridad cibernética

En una divulgación coordinada, Amazon dijo que ningún cliente se vio afectado por la vulnerabilidad y que no se requiere ninguna acción del cliente.

Lo describió como un “problema de análisis de mayúsculas y minúsculas dentro de AWS AppSync, que podría usarse para omitir las validaciones de uso de roles entre cuentas del servicio y tomar medidas como el servicio en todas las cuentas de los clientes”.

AWS AppSync ofertas desarrolladores API GraphQL para recuperar o modificar datos de múltiples fuentes de datos, así como sincronizar automáticamente datos entre aplicaciones móviles y web y la nube.

El servicio también se puede utilizar para integrarse con otros servicios de AWS a través de roles específicos diseñados para realizar las llamadas API necesarias con los permisos de IAM requeridos.

Si bien AWS cuenta con medidas de seguridad para evitar que AppSync asuma funciones arbitrarias mediante la validación del nombre de recurso de Amazon (ARN) de la función, el problema se deriva del hecho de que la verificación podría pasarse por alto al pasar el “serviceRoleArn“parámetro en minúsculas.

Luego, este comportamiento podría explotarse para proporcionar el identificador de un rol en una cuenta de AWS diferente.

“Esta vulnerabilidad en AWS AppSync permitió a los atacantes cruzar los límites de la cuenta y ejecutar llamadas a la API de AWS en las cuentas de las víctimas a través de roles de IAM que confiaban en el servicio de AppSync”, dijo Frichette.

“Al usar este método, los atacantes podrían violar las organizaciones que usaron AppSync y obtener acceso a los recursos asociados con esos roles”.



ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Una mujer comparte una foto de su árbol de Navidad ‘creación más grande’, pero la gente lo llama un ‘desastre voluminoso’
Next: El triunfalismo pandémico de Xi Jinping vuelve a atormentarlo

Related Stories

AMD Ryzen AI Halo: el mini-PC de IA a 3,999
  • Tecnología

AMD Ryzen AI Halo: el mini-PC de IA a 3,999 $ frente al DGX Spark

teknomers 7 de Temmuz de 2026
La búsqueda en Windows vuelve loco, este software gratuito encuentra
  • Tecnología

La búsqueda en Windows vuelve loco, este software gratuito encuentra tus archivos incluso sin su nombre.

teknomers 7 de Temmuz de 2026
LG QNED87: ¿un MiniRGB mucho menos avanzado de lo prometido?
  • Tecnología

LG QNED87: ¿un MiniRGB mucho menos avanzado de lo prometido?

teknomers 7 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida sobre la paciencia: Cita del día de Johannes Kepler: ‘La verdad es hija del tiempo, y no siento vergüenza en…’ – Lecciones inspiradoras sobre la paciencia y la persistencia del polímata y astrónomo alemán que descubrió las leyes que rigen el universo.

teknomers 7 de Temmuz de 2026
Suiza-Colombia (0-0, 4-3 t.a.b.): los suizos logran su pase a
  • Deporte

Suiza-Colombia (0-0, 4-3 t.a.b.): los suizos logran su pase a cuartos de final del Mundial en la tanda de penaltis

teknomers 7 de Temmuz de 2026
  • General

‘Guarderías fantasma sin…’: Nick Shirley y Dexter exponen fraude somalí en Minnesota en una audiencia de la Cámara – Teknomers

teknomers 7 de Temmuz de 2026
AMD Ryzen AI Halo: el mini-PC de IA a 3,999
  • Tecnología

AMD Ryzen AI Halo: el mini-PC de IA a 3,999 $ frente al DGX Spark

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.