AWS VDP | 报告 #3419587 - AWS Auto Scaling服务对特定端点生成的CloudTrail事件报告“AWS内部”信息
时间线
nick_frichette_dd 向 AWS VDP 提交了一份报告。 2025年11月11日,下午3:25 (UTC)
在进行 AWS API 调用时,AWS CloudTrail 负责为客户记录这些 API 活动。这些 CloudTrail 事件日志包含有关 API 调用、执行时间、执行者等信息。
我们发现 AWS Auto Scaling 服务的 6 个 API 端点错误地将用户代理和网络信息报告为“AWS 内部”。因此,攻击者可以使用这些端点执行 API 调用,并规避其 IP 地址/操作系统信息的记录。
这与我们之前为以下服务提交的错误类似:
- Pinpoint SMS and Voice
- Kendra
- Comprehend Medical
重现步骤: 首先,作为基线,执行以下 AWS CLI 命令:
|
|
等待 5-10 分钟,让该事件出现在 CloudTrail 中。在此处检查 CloudTrail 日志,可以看到 UserAgent 字段以及源 IP 地址已被填充。
接下来,运行以下命令:
|
|
等待 5-10 分钟,让该事件出现在 CloudTrail 中。在此处检查 CloudTrail 日志,可以看到 UserAgent 字段和网络信息显示为“AWS 内部”。由于我们使用的这个端点,我们无法看到请求信息,这可能会降低防御者追踪攻击者的能力。
表现出此行为的端点列表
|
|
请注意: 我们遵循行业标准的 90 天漏洞披露政策。您可以在此处了解更多关于我们的政策。
影响 摘要: 攻击者可以使用这些端点来避免向受害者披露其源 IP 地址或用户代理信息。
h1_analyst_lucas HackerOne 分类员将状态更改为 需要更多信息。 于 6 天前更新 您好 @nick_frichette_dd, 感谢您的提交。希望您一切顺利。 经审查,我观察到 CloudTrail 日志正确显示了 UserAgent 字段和网络信息。我找不到您报告中提到的任何标记为“内部”的条目。请您再次核实一下吗? ██████████ 此致, @h1_analyst_lucas
nick_frichette_dd 将状态更改为 新建。 于 6 天前更新 您好,我今天早上再次检查,行为确实如此。您需要检查 us-east-1 和 eu-north-1 区域中的 CloudTrail(将有两个日志)。eu-north-1 区域的日志显示用户代理/IP 地址为“AWS 内部”。 ██████████
h1_analyst_pablo HackerOne 分类员将严重性从 中 (5.0) 更新为 低。 2025年11月13日,上午7:28 (UTC) 根据概念验证中提供的证据,我认为其严重性表现为以下影响: 拥有有效 AWS 凭据的攻击者可以使用特定的 Auto Scaling 服务端点执行 API 调用,同时在安全日志中隐藏其真实的 IP 地址和浏览器信息,使得防御者更难追踪恶意活动,尽管这要求攻击者已经拥有对 AWS 服务的合法访问权限,us-east-1 区域的跟踪日志显示了正确的 IP 地址,并且这仅影响审计跟踪的可见性,而非授予未经授权的访问。 请注意,在团队做出最终评估后,此评级可能会更改。
h1_analyst_pablo HackerOne 分类员将状态更改为 待项目方审核。 2025年11月13日,上午7:28 (UTC) 您好 @nick_frichette_dd, 感谢您的提交!我们能够验证您的报告,并已将其提交给相应的修复团队进行审查。他们将告知我们此报告的最终裁定,以及是否/何时会实施修复。请注意,状态和严重性可能会发生变化。 谢谢, @h1_analyst_pablo
sonofagl1tch AWS VDP 工作人员 发表了评论。 2025年11月13日,下午2:26 (UTC) @nick_frichette_dd 感谢您将您的安全关切告知我们!我们正在积极调查您的报告,并在获得更多信息后提供更新。感谢您持续帮助我们保护客户! 致意, @sonofagl1tch
sonofagl1tch AWS VDP 工作人员 发表了评论。 2025年12月3日,下午9:52 (UTC) 希望您度过愉快的一天!我很高兴地报告,修复此问题所需的代码变更已在全球范围内部署。 请您重新测试一下好吗? 致意, @sonofagl1tch
nick_frichette_dd 发表了评论。 2025年12月4日,下午4:22 (UTC) 刚刚重新测试,我看到了正确的 IP/用户代理!一切看起来都很好!和您合作总是很愉快 @sonofagl1tch :) 在关闭之前,您能否将此问题的严重性从低更改为中?这是之前类似报告所评定的级别,我希望保持一致。
- https://hackerone.com/reports/3072841
- https://hackerone.com/reports/3044471
- https://hackerone.com/reports/2979238
sonofagl1tch AWS VDP 工作人员 将严重性从 低 更新为 中。 2025年12月4日,下午6:49 (UTC) 已更新以与之前的报告保持一致
sonofagl1tch AWS VDP 工作人员 关闭了报告并将状态更改为 已解决。 2025年12月16日,下午11:14 (UTC) 希望您度过愉快的一天!我很高兴地报告,修复此问题所需的代码变更已在全球范围内部署。 我们正在将此报告作为已解决状态关闭。 最后,我再次感谢您联系我们提交此报告,并感谢您协助我们保护客户的安全。如果您有任何进一步的问题、意见或关切,请随时与我们联系。
nick_frichette_dd 请求披露此报告。 于 6 天前 sonofagl1tch AWS VDP 工作人员 同意披露此报告。 于 6 天前 此报告已于 6 天前披露。
报告于 2025年11月11日,下午3:25 (UTC) 报告者 nick_frichette_dd 报告至 AWS VDP 管理方 参与者 报告 ID #3419587 状态 已解决 严重性 中 (4 ~ 6.9) 披露日期 2026年1月5日,下午8:38 (UTC) 缺陷类型 日志记录不足 CVE ID 无 赏金 无 账户详情 无
看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。
验证代理推理 关闭 此报告暂无验证代理推理。 不同意该推理?请告知我们。