Изследователи в областта на киберсигурността споделиха подробности за вече поправена уязвимост в сигурността в Managed Workflows for Apache Airflow (MWAA) на Amazon Web Services (AWS), която потенциално може да бъде използвана за превземане на сесиите на жертвите и постигане на отдалечено изпълнение на код в основните инстанции.
Уязвимостта, която вече е отстранена от AWS, е получила кодово име FlowFixation от Tenable.
„След като завладее акаунта на жертвата, атакуващият би могъл да извърши задачи като четене на низове на връзки, добавяне на конфигурации и задействане на насочени ациклични графи (DAGS)“, заяви старши изследователят по сигурността Лив Матан в технически анализ.
„При определени обстоятелства такива действия могат да доведат до RCE на инстанцията, която е в основата на MWAA, и до странично преместване към други услуги.“
Основната причина за уязвимостта, според фирмата за киберсигурност, е комбинация от фиксиране на сесията в панела за уеб управление на AWS MWAA и неправилна конфигурация на AWS домейна, която води до атака с кръстосани скриптове (XSS).
Фиксирането на сесията е техника за уеб атака, която се извършва, когато потребителят се удостоверява за услуга, без да се обезсилват съществуващите идентификатори на сесията. Това позволява на недоброжелателя да наложи (т.нар. фиксиране) известен идентификатор на сесията на потребителя, така че след като потребителят се удостовери, нападателят да има достъп до удостоверената сесия.
Злоупотребявайки с този недостатък, участникът в заплахата би могъл да принуди жертвите да използват и да удостоверят известната сесия на нападателя и в крайна сметка да завладеят панела за управление на мрежата на жертвата.
„FlowFixation подчертава по-широк проблем с текущото състояние на архитектурата и управлението на домейните на доставчиците на облачни услуги, тъй като се отнася до списъка с публични суфикси (PSL) и домейните със споделени родители: атаки от същия сайт“, каза Матан, като добави, че неправилната конфигурация засяга също Microsoft Azure и Google Cloud.
Tenable също така посочи, че споделената архитектура – при която няколко клиенти имат един и същ родителски домейн – може да бъде златна мина за нападателите, които искат да използват уязвимости като атаки от същия сайт, проблеми с кръстосания произход и подхвърляне на „бисквитки“, което на практика води до неоторизиран достъп, изтичане на данни и изпълнение на код.
Недостатъкът е отстранен, като AWS и Azure са добавили неправилно конфигурираните домейни към PSL, като по този начин са накарали уеб браузърите да разпознават добавените домейни като публичен суфикс. Google Cloud, от друга страна, определи проблема като „недостатъчно сериозен“, за да заслужава поправка.
„В случай на атаки на същото място въздействието на споменатата архитектура на домейна върху сигурността е значително, като рискът от такива атаки в облачни среди е повишен“, обясни Матан.
„Сред тях атаките с изхвърляне на бисквитки и заобикалянето на защитата на бисквитките с атрибути на същия сайт са особено обезпокоителни, тъй като и двете могат да заобиколят CSRF защитата. Атаките cookie-tossing могат също така да злоупотребяват с проблеми с фиксирането на сесията.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.