AWS telah menambal kerentanan keamanan di AppSync, layanan yang menyediakan API untuk membuat kueri, memperbarui, atau menerbitkan data ke beberapa database atau layanan mikro dari satu titik akhir.

Bug tersebut ditemukan oleh Datadog Security Labs, yang menjelaskannya di sini.

Datadog menyebut kerentanan sebagai masalah “deputi yang bingung”: “di mana entitas yang kurang memiliki hak istimewa (penyerang) meyakinkan entitas atau layanan yang lebih memiliki hak istimewa (AppSync) untuk melakukan beberapa tindakan atas namanya.”

AWS menyimpulkan kerentanannya di sinisebagai “masalah penguraian sensitivitas huruf besar-kecil dalam AWS AppSync, yang berpotensi digunakan untuk melewati validasi penggunaan peran lintas akun layanan dan mengambil tindakan sebagai layanan di seluruh akun pelanggan.”

AWS mengatakan perbaikan tidak memerlukan tindakan apa pun dari pihak pengguna, dan analisis lognya menunjukkan bahwa hanya peneliti Datadog yang memperhatikan kerentanan tersebut.

Apa yang ditemukan Datadog adalah bahwa “API akan menerima muatan JSON dengan properti yang menggunakan huruf besar-kecil. Misalnya, API mengharapkan httpConfig tetapi tidak akan menimbulkan kesalahan jika hTtPcOnFiG disediakan.”

“Temuan ini mengungkapkan bahwa layananRoleArn yang disediakan dengan casing berbeda akan melewati validasi, memungkinkan kami untuk memberikan ARN (Nama Sumber Daya Amazon) dari peran di akun AWS yang berbeda,” kata para peneliti.

“Dengan melewati validasi ARN, kami dapat membuat sumber data AppSync yang terkait dengan peran di akun AWS lainnya.

“Ini akan memungkinkan penyerang berinteraksi dengan sumber daya apa pun yang terkait dengan peran yang memercayai layanan AWS AppSync di akun mana pun.”

Datadog menemukan kerentanan pada 1 September, dan AWS mendorong perbaikan pada 6 September.