AWS IAM 로그인 흐름에서 취약점(CVE-2025-0693)이 발견되었습니다. 이 문제는 로그인 시도 중 서버 응답 시간을 측정하여 AWS IAM 사용자 이름을 열거할 수 있었습니다. 응답 시간의 차이가 제출된 AWS IAM 사용자 이름이 계정에 존재하는지 여부를 나타낼 수 있습니다. 그러나 사용자 이름 정보만으로는 인증 또는 AWS 리소스 액세스가 불가능합니다. 계정 식별자, 사용자 이름, 암호 및 다중 요소 인증이 모두 필요합니다. AWS는 사인-인 엔드포인트의 잠재적인 악용을 모니터링하고 대응하는 다층 보호를 갖추고 있습니다. 영향을 받는 버전은 2025년 1월 16일 이전의 AWS Sign-in IAM User 로그인 흐름입니다. AWS는 모든 인증 실패 시나리오에 대한 응답 시간 지연을 도입하여 유효한 사용자 이름 열거를 방지했습니다. 고객의 조치가 필요하지 않으며 AWS CloudTrail을 사용하여 로그인 활동을 모니터링할 수 있습니다. Rhino Security Labs는 조정된 취약점 공개 프로세스를 통해 이 문제에 협력했습니다.