{"id":485067,"date":"2022-11-28T11:09:31","date_gmt":"2022-11-28T13:09:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dappsync-dans-amazon-web-services\/"},"modified":"2022-11-28T11:09:32","modified_gmt":"2022-11-28T13:09:32","slug":"des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dappsync-dans-amazon-web-services","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dappsync-dans-amazon-web-services\/","title":{"rendered":"Des chercheurs d\u00e9taillent la vuln\u00e9rabilit\u00e9 inter-locataire d&#8217;AppSync dans Amazon Web Services"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Amazon Web Services (AWS) a r\u00e9solu une vuln\u00e9rabilit\u00e9 inter-locataires dans sa plate-forme qui pourrait \u00eatre militaris\u00e9e par un attaquant pour obtenir un acc\u00e8s non autoris\u00e9 aux ressources.<\/p>\n<p>Le probl\u00e8me porte sur une <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/IAM\/latest\/UserGuide\/confused-deputy.html\" target=\"_blank\">probl\u00e8me d&#8217;adjoint confus<\/a>un type d&#8217;\u00e9l\u00e9vation de privil\u00e8ges o\u00f9 un programme qui n&#8217;a pas l&#8217;autorisation d&#8217;effectuer une action peut contraindre une entit\u00e9 plus privil\u00e9gi\u00e9e \u00e0 effectuer l&#8217;action.<\/p>\n<p>La lacune a \u00e9t\u00e9 signal\u00e9e par Datadog \u00e0 AWS le 1er septembre 2022, \u00e0 la suite de quoi un correctif a \u00e9t\u00e9 envoy\u00e9 le 6 septembre.<\/p>\n<p>&#8220;Cette attaque abuse du service AppSync pour supposer [identity and access management] <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/IAM\/latest\/UserGuide\/id_roles.html\" target=\"_blank\">les r\u00f4les<\/a> dans d&#8217;autres comptes AWS, ce qui permet \u00e0 un attaquant de pivoter vers une organisation victime et d&#8217;acc\u00e9der aux ressources de ces comptes \u00bb, Nick Frichette, chercheur chez Datadog <a rel=\"nofollow noopener\" href=\"https:\/\/securitylabs.datadoghq.com\/articles\/appsync-vulnerability-disclosure\/\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans une divulgation coordonn\u00e9e, Amazon <a rel=\"nofollow noopener\" href=\"https:\/\/aws.amazon.com\/security\/security-bulletins\/AWS-2022-009\/\" target=\"_blank\">a dit<\/a> qu&#8217;aucun client n&#8217;a \u00e9t\u00e9 affect\u00e9 par la vuln\u00e9rabilit\u00e9 et qu&#8217;aucune action client n&#8217;est requise.<\/p>\n<p>Il l&#8217;a d\u00e9crit comme un &#8220;probl\u00e8me d&#8217;analyse sensible \u00e0 la casse dans AWS AppSync, qui pourrait potentiellement \u00eatre utilis\u00e9 pour contourner les validations d&#8217;utilisation des r\u00f4les entre comptes du service et prendre des mesures en tant que service sur les comptes clients&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"150\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1669640971_342_Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.png\"\/><\/div>\n<p>AWS AppSync <a rel=\"nofollow noopener\" href=\"https:\/\/aws.amazon.com\/appsync\/\" target=\"_blank\">des offres<\/a> d\u00e9veloppeurs d&#8217;API GraphQL pour r\u00e9cup\u00e9rer ou modifier des donn\u00e9es \u00e0 partir de plusieurs sources de donn\u00e9es, ainsi que pour synchroniser automatiquement les donn\u00e9es entre les applications mobiles et Web et le cloud.<\/p>\n<p>Le service peut \u00e9galement \u00eatre utilis\u00e9 pour s&#8217;int\u00e9grer \u00e0 d&#8217;autres services AWS via des r\u00f4les sp\u00e9cifiques con\u00e7us pour effectuer les appels d&#8217;API n\u00e9cessaires avec les autorisations IAM requises.<\/p>\n<p>Bien qu&#8217;AWS ait mis en place des protections pour emp\u00eacher AppSync d&#8217;assumer des r\u00f4les arbitraires en validant l&#8217;Amazon Resource Name (ARN) du r\u00f4le, le probl\u00e8me vient du fait que la v\u00e9rification pourrait \u00eatre trivialement contourn\u00e9e en passant le &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/appsync\/latest\/APIReference\/API_DataSource.html\" target=\"_blank\">serviceRoleArn<\/a>&#8221; param\u00e8tre en minuscule.<\/p>\n<p>Ce comportement pourrait ensuite \u00eatre exploit\u00e9 pour fournir l&#8217;identifiant d&#8217;un r\u00f4le dans un autre compte AWS.<\/p>\n<p>\u00ab Cette vuln\u00e9rabilit\u00e9 dans AWS AppSync a permis aux attaquants de franchir les limites des comptes et d&#8217;ex\u00e9cuter des appels d&#8217;API AWS dans les comptes des victimes via des r\u00f4les IAM qui faisaient confiance au service AppSync \u00bb, a d\u00e9clar\u00e9 Frichette.<\/p>\n<p>&#8220;En utilisant cette m\u00e9thode, les attaquants pourraient violer les organisations qui utilisaient AppSync et acc\u00e9der aux ressources associ\u00e9es \u00e0 ces r\u00f4les.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-detail-appsync-cross-tenant.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Amazon Web Services (AWS) a r\u00e9solu une vuln\u00e9rabilit\u00e9 inter-locataires dans sa plate-forme qui pourrait \u00eatre militaris\u00e9e par un attaquant pour obtenir un acc\u00e8s non autoris\u00e9 aux ressources. Le probl\u00e8me porte sur une probl\u00e8me d&#8217;adjoint confusun type d&#8217;\u00e9l\u00e9vation de privil\u00e8ges o\u00f9 un programme qui n&#8217;a pas l&#8217;autorisation d&#8217;effectuer une action peut contraindre une entit\u00e9 plus privil\u00e9gi\u00e9e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":485068,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[9696,12848,4168,4158,4165,4161,429,128085,133,38951,128084,4157,4159,4171,4170,4167,4160,4163,4162,4172,4169,3831,4166,3667,4164,2784],"class_list":["post-485067","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-amazon","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dappsync","tag-des","tag-detaillent","tag-interlocataire","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-services","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/485067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=485067"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/485067\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/485068"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=485067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=485067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=485067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}