Vulnerabilidad en AWS Deployment Framework (CVE-2024-37293)

AWS Deployment Framework (ADF) es un framework para administrar e implementar recursos en múltiples cuentas y regiones de AWS dentro de una organización de AWS. ADF permite implementaciones de aplicaciones o recursos por etapas, paralelas, de múltiples cuentas y entre regiones a través de la estructura definida en AWS Organizations, al tiempo que aprovecha servicios como AWS CodePipeline, AWS CodeBuild y AWS CodeCommit para aliviar el trabajo pesado y la administración en comparación a una configuración CI/CD tradicional. ADF contiene un proceso de arranque que es responsable de implementar las pilas de arranque de ADF para facilitar las implementaciones de múltiples cuentas entre regiones. El proceso de arranque de ADF depende de privilegios elevados para realizar esta tarea. Existen dos versiones del proceso de arranque; una canalización impulsada por cambios de código que utiliza AWS CodeBuild y una máquina de estado impulsada por eventos que utiliza AWS Lambda. Si un actor tiene permisos para cambiar el comportamiento del proyecto CodeBuild o la función Lambda, podrá aumentar sus privilegios. Antes de la versión 4.0.0, la función de arranque CodeBuild proporciona acceso a la operación `sts:AssumeRole` sin más restricciones. Por lo tanto, puede asumir cualquier cuenta de AWS en la organización de AWS con los privilegios elevados proporcionados por la función de acceso entre cuentas. De forma predeterminada, esta función no está restringida cuando la crea AWS Organizations, lo que proporciona acceso de nivel de administrador a los recursos de AWS en la cuenta de AWS. Los parches para este problema se incluyen en la versión 4.0.0 de `aws-deployment-framework`. Como mitigación temporal, agregue un límite de permisos a los roles creados por ADF en la cuenta de administración. El límite de permisos debe denegar todas las acciones de IAM y STS. Este límite de permisos debe estar vigente hasta que actualice ADF o inicie una nueva cuenta. Mientras el límite de permisos esté vigente, la administración de cuentas y el arranque de cuentas no pueden crear, actualizar ni asumir roles. Esto mitiga el riesgo de escalada de privilegios, pero también desactiva la capacidad de ADF para crear, administrar y arrancar cuentas.