AWS VDP | 报告 #3419587 - AWS Auto Scaling服务对特定端点生成的CloudTrail事件报告为"AWS内部"

报告时间：2025年11月11日下午3:25 (UTC) 报告人：nick_frichette_dd

概述

在进行AWS API调用时，AWS CloudTrail负责为客户记录该API活动。这些CloudTrail事件日志包含关于API调用的信息，例如调用时间、调用者等。

我们发现在AWS Auto Scaling服务中存在6个API端点，它们错误地将用户代理（UserAgent）和网络信息报告为 “AWS Internal”。因此，攻击者使用这些端点执行API调用时，可以规避其IP地址和操作系统信息的记录。

这与我们之前为以下服务提交的错误报告类似：

基线验证：首先，执行以下AWS CLI命令作为基准：
1

███
等待5-10分钟，使该事件出现在CloudTrail中。检查CloudTrail日志，可以看到UserAgent字段以及源IP地址已被正确填充。
问题验证：接下来，运行以下命令：
1

███████ ████████
等待5-10分钟，使该事件出现在CloudTrail中。检查CloudTrail日志，可以看到UserAgent字段和网络信息显示为 “AWS Internal”。由于我们使用了此端点，无法看到请求信息，这可能会降低防御者追踪对手的能力。

摘要：攻击者可以利用这些端点，避免向受害者披露其源IP地址或用户代理信息。

2025年11月11日：报告提交。
2025年11月13日：HackerOne分析师h1_analyst_pablo将状态更新为待项目方审核，并将严重性从中危(5.0) 调整为低危，理由是攻击者需要已拥有合法的AWS凭证，且us-east-1区域的记录显示了正确的IP地址，此问题主要影响审计追踪的可见性，而非授予未授权访问权限。
2025年11月13日：AWS VDP团队成员sonofagl1tch确认收到报告并开始调查。
2025年12月3日：sonofagl1tch告知修复所需的代码更改已全球部署，并要求报告者重新测试。
2025年12月4日：报告者nick_frichette_dd确认重新测试后看到正确的IP/用户代理信息。同时，请求将严重性从“低危”改回“中危”，以与此前同类报告保持一致。sonofagl1tch随后将严重性更新为中危。
2025年12月16日：sonofagl1tch将报告状态标记为已解决并关闭报告。
2026年1月5日：报告被同意并公开披露。