‘Amazon Web Services (AWS) a récemment corrigé une vulnérabilité critique dans son Kit de Développement Cloud open-source (CDK), renforçant ainsi ses mesures de sécurité pour les développeurs à travers le monde. Le Kit de Développement Cloud (CDK) est un cadre open-source créé par AWS qui permet aux développeurs de définir l’infrastructure d’application cloud en utilisant des langages de programmation tels que Python, TypeScript, JavaScript, Go parmi d’autres.
La vulnérabilité du CDK a été repérée pour la première fois par les chercheurs en sécurité Ofek Itach et Yakir Kadkoda d’Aqua le 27 juin. En réaction rapide à cela, AWS a rapidement corrigé la faille en environ deux semaines, avec la sortie de la version CDK v2.149.0.
Selon AWS, la vulnérabilité aurait potentiellement affecté environ un pour cent des utilisateurs du CDK ; cependant, ils ont assuré que le problème a été minutieusement étudié et résolu. Un porte-parole d’AWS a affirmé: « Nous avons enquêté et résolu toutes les préoccupations signalées. »
L’entreprise a reconnu et apprécié le rôle d’Aqua dans l’identification et le signalement de la faille, et le travail ultérieur avec AWS pour l’atténuation. Suite à l’incident, AWS a mis en place des mesures de sécurité supplémentaires pour l’Interface de Ligne de Commande du Kit de Développement Cloud AWS (AWS CDK CLI) le 12 juillet 2024, pour prévenir une éventuelle divulgation de données pour les clients.
Les clients utilisant des versions mises à jour devront effectuer une mise à niveau unique de leurs ressources d’amorce. AWS a communiqué de manière proactive avec les clients qui auraient pu être touchés par ce problème, les exhortant à faire la mise à niveau. De plus, l’entreprise a intégré des vérifications supplémentaires sur le CLI pour inciter les utilisateurs à effectuer des mises à niveau de manière régulière. Ceci assure que AWS continue de faire de la sécurité des utilisateurs une priorité, agissant rapidement sur les vulnérabilités potentielles et prenant les actions nécessaires pour protéger leurs clients.’