Problème avec IAM pour prendre en charge plusieurs appareils MFA

Un problème récemment signalé dans la prise en charge multi-MFA d'AWS pour les utilisateurs IAM pourrait survenir lorsque l'utilisateur IAM possède des informations d'identification d'accès à long terme, a le privilège d'ajouter une MFA sans l'utiliser et a des privilèges d'accès configurés pour augmenter après l'ajout d'une MFA. Dans ces conditions, la possession de la clé d'accès et de la clé secrète seule était équivalente à avoir à la fois les informations d'identification et une MFA configurée. Le problème provenait d'une combinaison de la nouvelle fonctionnalité multi-MFA et de l'auto-gestion des appareils MFA par les utilisateurs IAM avec un accès restreint avant d'ajouter une MFA. Le problème n'affectait pas l'accès basé sur la console de gestion AWS ou les principaux fédérés. À compter du 21 avril 2023, le problème a été résolu en obligeant les utilisateurs IAM avec des MFA existantes à utiliser des informations d'identification temporaires obtenues via sts:GetSessionToken et une MFA existante pour gérer leurs appareils MFA à l'aide des informations d'identification de clé d'accès et de clé secrète. AWS a notifié les clients affectés et leur a recommandé de confirmer la correction de leurs configurations MFA. Le problème a été identifié et divulgué de manière responsable par des chercheurs de MWR Cybersec.