HackerOne漏洞报告 #3418966：AWS AI Ops服务非生产API端点未记录至CloudTrail导致静默权限枚举

时间线

• nick_frichette_dd 向 AWS VDP 提交了一份报告。2025年11月10日，下午9:41 (UTC)
• h1_analyst_malenia HackerOne 分类人员将严重性从中等(5.0)更新为中等。2025年11月11日，下午5:14 (UTC)
• h1_analyst_malenia HackerOne 分类人员将状态更改为待项目方审查。2025年11月11日，下午5:14 (UTC)
• gabagh00l418 AWS VDP 工作人员发布了一条评论。2025年11月17日，下午4:55 (UTC)
• vulnguard AWS VDP 工作人员发布了一条评论。2025年11月26日，下午5:08 (UTC)
• nick_frichette_dd 发布了一条评论。大约5天前更新
• vulnguard AWS VDP 工作人员发布了一条评论。2025年11月26日，下午9:06 (UTC)
• vulnguard AWS VDP 工作人员发布了一条评论。2025年12月10日，上午12:26 (UTC)
• vulnguard AWS VDP 工作人员发布了一条评论。11天前
• vulnguard AWS VDP 工作人员发布了一条评论。6天前
• nick_frichette_dd 发布了一条评论。6天前
• vulnguard AWS VDP 工作人员关闭了报告并将状态更改为已解决。5天前
• nick_frichette_dd 请求公开此报告。5天前
• vulnguard AWS VDP 工作人员同意公开此报告。5天前
  • 此报告已于5天前公开。

摘要： 通常，当攻击者获得被盗的AWS IAM凭证后，他们会测试这些凭证以查看拥有哪些访问权限。他们通过执行API调用来观察哪些成功、哪些失败。甚至存在自动化工具使此过程更容易。对于防御者和安全专业人员而言，这种行为是检测的黄金机会，因为它很可能涉及生成大量失败的API调用尝试。如果攻击者能够在枚举权限时不向CloudTrail记录日志，他们就可以无形地执行此活动。

存在多种类别的CloudTrail绕过。本报告重点关注的特定变体被称为“非生产端点权限枚举CloudTrail绕过”。如果您想了解更多信息，可以找到更多详细信息（链接被屏蔽）。

我们发现了AI Ops服务的5个非生产端点，它们可以使用标准的IAM凭证进行调用，并且不会记录到CloudTrail。虽然它们似乎无法访问客户分区数据是件好事，但它们仍然可以用于在无需记录CloudTrail的情况下进行权限枚举。

AWS此前已公开表示，此类漏洞应被报告。具体来说，“对于不记录到CloudTrail但其他方面可使用普通凭证调用并表现正常IAM权限行为的独立非生产端点，AWS认为此类端点的CloudTrail记录绕过也是一个安全问题。如果您在具有这些特征的端点上发现一个或多个API，请联系AWS安全团队：aws-security@amazon.com”。

描述：

复现步骤： 要查看在使用正常生产端点时CloudTrail中应出现的内容，请使用具有足够权限的IAM用户或角色执行以下AWS CLI操作：

1

aws aiops list-investigation-groups

等待大约5-10分钟，CloudTrail中会出现一条日志。接下来，执行以下AWS CLI操作：

1

aws aiops list-investigation-groups --endpoint-url ██████

等待5-10分钟（或更长时间）后，请注意它不会在CloudTrail中生成日志。攻击者可以执行此操作，并根据API的响应，判断他们已入侵的身份是否拥有执行该操作的权限。

支持材料/参考：

指出此漏洞发生的亚马逊服务或产品： aiops

验证或复现此漏洞需要哪种类型的Amazon AWS账户？： 标准商业分区账户

估计的CVSS分数和向量字符串： 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/CR:H/IR:H/AR:H

估计的CWE（逗号分隔）： CWE-778：日志记录不足

您是否已经公开披露了有关此问题的任何信息？如果是，何时何地？： 这个具体例子？没有。这种通用技术？是的，实际上很多。我曾在其博客中写过相关内容（链接被屏蔽），并在Black Hat USA 2023（███████）和fwd:cloudsec 2023（█████████）上做过演讲（我破坏了这些链接，因为HackerOne似乎对它们有异议？）

此外，我们还针对不同服务报告了类似的发现： neptune-graph, transcribe, storagegateway, sso-admin, ssm-quicksetup, securityhub, route53, redshift-data, neptune-graph, lakeformation and m2, health, glue, globalaccelerator, forecast, events, elasticache, datazone part 2, docdb-elastic, devicefarm, datazone, cloudwatch, bedrock, bedrock-agent, ssm

以下是我们发现的表现出此行为的端点列表： █████████ ██████ ████████ █████ █████████

这些似乎是几位开发人员的个人堆栈。最佳实践是允许列出有权调用它们的特定AWS账户，这将关闭此攻击途径。

请注意：我们遵循行业标准的90天漏洞披露政策。您可以在（链接被屏蔽）阅读更多关于我们的政策。

影响 摘要： 攻击者可以在不记录CloudTrail日志的情况下，枚举已入侵凭证对aiops服务的权限。

分类人员评论 (h1_analyst_malenia, 2025年11月11日)： 虽然在不记录CloudTrail日志的情况下枚举IAM权限的能力移除了一项关键的检测控制，但影响有限，因为攻击者首先需要有效的AWS凭证，而且该操作本身似乎并不提供对敏感数据的访问或允许未经授权的操作。日志记录的缺失主要影响安全监控能力和事件响应工作，因为它允许权限测试活动不被察觉。 注明的初始严重性看起来准确。 请注意，严重性可能在亚马逊团队做出最终评估后更改。

项目方交互记录摘要：

• 2025-11-17 (gabagh00l418): 感谢报告，正在审查，将每月更新。
• 2025-11-26 (vulnguard): 已接手此案。请求提供能证明如何访问这些端点的截图，因内部团队无法复现。
• 2025-11-26 (nick_frichette_dd): 提供了对比操作的截图，显示使用非生产端点的调用未生成CloudTrail事件。
• 2025-11-26 (vulnguard): 已转发信息给内部团队。
• 2025-12-10 (vulnguard): 仍在调查中。
• 2026-01-01 左右 (vulnguard): 仍在积极处理，预计下周有实质性更新。新年快乐。
• 2026-01-07 左右 (vulnguard): 内部团队已解决报告的问题。欢迎重新测试。
• 2026-01-07 左右 (nick_frichette_dd): 重新测试了一个随机端点，确认已修复！无论是否有权限，现在都会收到相同的错误信息/代码。
• 2026-01-08 左右 (vulnguard): 感谢确认。关闭报告，状态设为已解决。欢迎发送博客草稿或申请公开披露报告。
• 2026-01-08 左右 (nick_frichette_dd): 请求公开此报告。
• 2026-01-08 左右 (vulnguard): 同意公开。报告已公开。

报告信息

• 报告于： 2025年11月10日，下午9:41 (UTC)
• 报告者： nick_frichette_dd
• 报告至： AWS VDP
• 报告ID： #3418966
• 状态： 已解决
• 严重性： 中等 (4 ~ 6.9)
• 公开日期： 2026年1月6日，下午6:00 (UTC)
• 弱点： 日志记录不足
• CVE ID： 无
• 奖金： 无