Изследователи в областта на киберсигурността споделиха подробности за вече поправена уязвимост в сигурността в Managed Workflows for Apache Airflow (MWAA) на Amazon Web Services (AWS), която потенциално може да бъде използвана  за превземане на сесиите на жертвите и постигане на отдалечено изпълнение на код в основните инстанции.

Уязвимостта, която вече е отстранена от AWS, е получила кодово име FlowFixation от Tenable.

„След като завладее акаунта на жертвата, атакуващият би могъл да извърши задачи като четене на низове на връзки, добавяне на конфигурации и задействане на насочени ациклични графи (DAGS)“, заяви старши изследователят по сигурността Лив Матан в технически анализ.

„При определени обстоятелства такива действия могат да доведат до RCE на инстанцията, която е в основата на MWAA, и до странично преместване към други услуги.“
Основната причина за уязвимостта, според фирмата за киберсигурност, е комбинация от фиксиране на сесията в панела за уеб управление на AWS MWAA и неправилна конфигурация на AWS домейна, която води до атака с кръстосани скриптове (XSS).

Фиксирането на сесията е техника за уеб атака, която се извършва, когато потребителят се удостоверява за услуга, без да се обезсилват съществуващите идентификатори на сесията. Това позволява на недоброжелателя да наложи (т.нар. фиксиране) известен идентификатор на сесията на потребителя, така че след като потребителят се удостовери, нападателят да има достъп до удостоверената сесия.

Session Hijacking

 

Злоупотребявайки с този недостатък, участникът в заплахата би могъл да принуди жертвите да използват и да удостоверят известната сесия на нападателя и в крайна сметка да завладеят панела за управление на мрежата на жертвата.

„FlowFixation подчертава по-широк проблем с текущото състояние на архитектурата и управлението на домейните на доставчиците на облачни услуги, тъй като се отнася до списъка с публични суфикси (PSL) и домейните със споделени родители: атаки от същия сайт“, каза Матан, като добави, че неправилната конфигурация засяга също Microsoft Azure и Google Cloud.

Tenable също така посочи, че споделената архитектура – при която няколко клиенти имат един и същ родителски домейн – може да бъде златна мина за нападателите, които искат да използват уязвимости като атаки от същия сайт, проблеми с кръстосания произход и подхвърляне на „бисквитки“, което на практика води до неоторизиран достъп, изтичане на данни и изпълнение на код.

Недостатъкът е отстранен, като AWS и Azure са добавили неправилно конфигурираните домейни към PSL, като по този начин са накарали уеб браузърите да разпознават добавените домейни като публичен суфикс. Google Cloud, от друга страна, определи проблема като „недостатъчно сериозен“, за да заслужава поправка.

„В случай на атаки на същото място въздействието на споменатата архитектура на домейна върху сигурността е значително, като рискът от такива атаки в облачни среди е повишен“, обясни Матан.

„Сред тях атаките с изхвърляне на бисквитки и заобикалянето на защитата на бисквитките с атрибути на същия сайт са особено обезпокоителни, тъй като и двете могат да заобиколят CSRF защитата. Атаките cookie-tossing могат също така да злоупотребяват с проблеми с фиксирането на сесията.“

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
Бъдете социални
Още по темата
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
17/01/2025

DORA: Провеждане на тестове...

Международният валутен фонд изчислява, че през...
17/01/2025

CISO работят по-усилено от ...

CISO съобщават, че обхватът на тяхната...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!