AWS Systems Manager Schwachstelle erlaubt Code-Ausführung mit erhöhten Rechten

Eine kritische Schwachstelle im AWS Systems Manager (SSM) Agent ermöglicht es Angreifern, mit erhöhten Rechten beliebigen Code auszuführen. Diese Schwachstelle ist auf eine fehlerhafte Eingabevalidierung innerhalb der Funktion ValidatePluginId zurückzuführen, die ein zentraler Bestandteil des SSM Agent ist, welcher zur Verwaltung von EC2-Instanzen und On-Premises-Servern in AWS-Umgebungen verwendet wird.

Laut einem Bericht von Cymulate befindet sich die Schwachstelle in der Funktion ValidatePluginId, die im Pluginutil.go-File des offiziellen AWS SSM Agent GitHub-Repositories zu finden ist. Diese Funktion validiert die Eingaben für Plugin-IDs nicht ausreichend, wodurch Angreifer schadhafte Path-Traversal-Sequenzen wie ‚../‘ in der Plugin-ID einschleusen können.

Die Schwachstelle führt dazu, dass der SSM Agent auf unsichere Weise Verzeichnisse und Dateien an unbefugten Orten erstellt, was zu einer möglichen Ausführung von Skripten mit Root-Rechten führen kann. In einem Beispiel könnte ein Angreifer einen Pfad-Traversal-String in ein SSM-Dokument einfügen, wodurch der SSM Agent ungewollt ein Verzeichnis im /tmp-Verzeichnis erstellt, in dem ein schadhafter Skript-Code ausgeführt wird.

AWS veröffentlichte am 5. März 2025 ein Update zur Behebung der Schwachstelle. Um die Gefahr zu minimieren, empfehlen Sicherheitsexperten, den SSM Agent sofort auf die neueste Version zu aktualisieren und strikte Eingabevalidierungen durchzuführen.

Quelle:
https://cybersecuritynews.com/aws-systems-manager-plugin-vulnerability/

 

 

Wir sind Experten für Datenschutz und IT-Sicherheit

Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.

Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS, NIS-2 oder TISAX.

Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net