CVE-2024-37293

Versões do aws-deployment-framework anteriores à 4.0.0

O AWS Deployment Framework (ADF) contém um processo de inicialização que depende de privilégios elevados para implantar as pilhas de inicialização do ADF, facilitando implantações entre regiões e em várias contas. Antes da versão 4.0.0, a função CodeBuild de inicialização fornece acesso à operação sts:AssumeRole sem restrições adicionais, permitindo que ela assuma qualquer conta da AWS na AWS Organization com privilégios elevados. Essa vulnerabilidade pode ser explorada por um agente com permissões para alterar o comportamento do projeto CodeBuild ou da função Lambda, permitindo que ele eleve seus privilégios.

Como medida de mitigação temporária, adicione um limite de permissões às funções criadas pelo ADF na conta de gerenciamento. O limite de permissões deve negar todas as ações do IAM e do STS. Esse limite de permissões deve permanecer em vigor até que você atualize o ADF ou inicialize uma nova conta.

Atualize para a versão 4.0.0 do aws-deployment-framework para resolver o problema.