适用于Kubernetes 的AWS IAM 验证器中存在漏洞，导致提权等攻击

该漏洞现已修复，可导致攻击者模拟其它用户并提升在配置了 AccessKeyID 模板参数的 Elastic Kubernetes Service (EKS) 集群中的权限。攻击者可构造对安全令牌服务 (STS) GetCallerIdentity 端点的恶意签名要求，该端点中包含同样的参数乘不同的值。

Lightspin 公司的研究员 Gafnit Amiga 在博客文章中详细说明了攻击者如何发送两个名称一样但大小写不同的变量，如研究员可同时发送“Action” 和“action”。

Amiga 解释称，“由于易受攻击代码中的两个变量都是 ‘ToLower’，queryParamsLower 字典中的值将被重写，而AWS请求将以参数和值的形式发送。而问题是AWS STS 将会忽视预测之外的参数，在这个案例中AWS STS 将忽视参数action。”

易受攻击的根因出现在2017年10月的第一个提交中。因此从第一天开始，易改变的action 和未签名的集群ID令牌就是可利用的。从2020年9月开始，即可通过AccessKeyID即可利用该用户名。

Amiga 表示该漏洞难以定位，而且很难发现值可被重写且STS忽视了意料之外的额外请求参数。

Amiga 指出，“我尝试了其它攻击向量希望能够操纵该HTTP客户端，但无法实现。”

亚马逊之后修复了该漏洞，Amiga 评价称“大大改进了该流程”。该研究员表示，“整个过程历时1个月且他们一直告诉我最新进展。我们还协同披露漏洞。”

该漏洞已在版本0.5.9中发布。更多信息可见亚马逊安全通告：https://aws.amazon.com/cn/security/security-bulletins/AWS-2022-007/。

https://portswigger.net/daily-swig/vulnerability-in-aws-iam-authenticator-for-kubernetes-could-allow-user-impersonation-privilege-escalation-attacks

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~