Amazon EMR Secret Agent zapisuje plik keytab zawierający dane uwierzytelniające Kerberos w katalogu /tmp/, który może być dostępny dla innych użytkowników systemu. Podatność pozwala na odszyfrowanie kluczy Kerberos i eskalację uprawnień do wyższego poziomu dostępu.
▸ Pokaż oryginał (EN)
Amazon EMR Secret Agent creates a keytab file containing Kerberos credentials. This file is stored in the /tmp/ directory. A user with access to this directory and another account can potentially decrypt the keys and escalate to higher privileges. Users are advised to upgrade to Amazon EMR version 7.5 or higher. For Amazon EMR releases between 6.10 and 7.4, we strongly recommend that you run the bootstrap script and RPM files with the fix provided in the location below.
Komponent Secret Agent w Amazon EMR tworzy plik keytab z poświadczeniami Kerberos i umieszcza go w katalogu /tmp/. Katalog ten jest zazwyczaj współdzielony między użytkownikami systemu. Lokalny użytkownik posiadający dostęp do /tmp/ oraz do dodatkowego konta może odczytać plik keytab, a następnie odszyfrować zawarte w nim klucze (CWE-257: przechowywanie hasła w odwracalnie zaszyfrowanej formie). Umożliwia to przejęcie tożsamości Kerberos i privilege escalation.
Atakujący z dostępem lokalnym może odszyfrować poświadczenia Kerberos i eskalować uprawnienia do wyższego poziomu, potencjalnie uzyskując dostęp do zasobów klastra EMR chronionych przez Kerberos.
Należy zaktualizować Amazon EMR do wersji 7.5 lub wyższej. Dla wersji z zakresu 6.10–7.4 producent zaleca uruchomienie dostarczonego skryptu bootstrap oraz plików RPM z poprawką, zgodnie z informacjami zawartymi w biuletynie bezpieczeństwa AWS-2025-017 (https://aws.amazon.com/security/security-bulletins/AWS-2025-017/).
Amazon EMR w wersjach od 6.10 do 7.4 oraz wcześniejszych korzystających z komponentu Secret Agent z obsługą Kerberos.
Producent (AWS) opublikował dedykowany biuletyn bezpieczeństwa AWS-2025-017. Podatność wymaga posiadania lokalnego dostępu do systemu oraz konta użytkownika, co ogranicza powierzchnię ataku, jednak wysoki wynik CVSS 9.0 wynika z potencjalnego wpływu na poufność, integralność i dostępność zarówno środowiska lokalnego, jak i systemów powiązanych.
CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X