Проблема с IAM при поддержке нескольких устройств MFA

Недавно выявленная проблема в поддержке мульти-аутентификации (MFA) в AWS для пользователей IAM могла возникнуть, когда пользователь IAM обладал долгосрочными ключами доступа, имел привилегию добавлять MFA без ее использования и имел настроенные привилегии доступа, которые увеличивались после добавления MFA. При этих условиях обладание ключом доступа и секретным ключом было эквивалентно обладанию как ключами, так и настроенной MFA. Проблема возникла из-за комбинации новой функции мульти-MFA и самодостаточного управления устройствами MFA пользователями IAM с ограниченным доступом до добавления MFA. Эта проблема не затрагивала доступ на основе AWS Management Console или федеративных субъектов. С 21 апреля 2023 года проблема была устранена путем требования от пользователей IAM с существующими MFA использовать временные учетные данные, полученные через sts:GetSessionToken и существующую MFA, для управления своими устройствами MFA с помощью ключа доступа и секретного ключа. AWS уведомила затронутых клиентов и рекомендовала им подтвердить правильность своих конфигураций MFA. Проблема была выявлена и ответственно раскрыта исследователями из MWR Cybersec.