Според компанията за сигурност на приложенията Miggo до 15 000 приложения, които използват Application Load Balancer (ALB) на AWS за удостоверяване, може да са уязвими за атаки.
Тези атаки, наречени от Miggo ALBeast, са възможни поради това, което компанията описва като критичен проблем с конфигурацията, а не като действителна уязвимост в решението AWS ALB.
AWS ALB е балансьор на натоварването, който насочва трафика към инстанции EC2, контейнери, IP адреси и Lambda функции въз основа на съдържанието на заявката.
AWS е била информирана за потенциалните рискове през април и оттогава е актуализирала документацията си и е добавила нов код, за да помогне на клиентите да предотвратят ALBeast атаки, каза Miggo.
Търсенето на Censys разкрива над 370 000 екземпляра на AWS ALB, които са изложени на риск в интернет. Miggo е установил, че над 15 000 от тях може да са уязвими поради проблем с конфигурацията. Компанията обаче отбеляза, че дори приложения, които не са изложени на интернет, могат да бъдат обект на атаки от страна на нападатели, които имат достъп до мрежата.
„Първо, атакуващият създава своя собствена ALB инстанция с конфигурирана автентификация в своя акаунт. След това нападателят използва този ALB, за да подпише токен, който изцяло контролира. След това атакуващият променя конфигурацията на ALB и задава полето за издател на очаквания издател на жертвата“, обяснява Miggo.
„Впоследствие AWS подписва подправения от нападателя токен с издателя на жертвата. Накрая нападателят използва този подправен токен срещу приложението на жертвата, заобикаляйки както удостоверяването, така и оторизацията“, добави той.
Според Miggo атаката ALBeast може да позволи на нападателите да получат неоторизиран достъп до бизнес ресурси и да ексфилтрират данни.
Потребителите могат да предотвратят атаките, като се уверят, че приложенията, използващи ALB удостоверяване, проверяват подписващия токена, и като гарантират, че се приема само трафик от техния ALB.
В отговор на запитвания говорител на AWS заяви: „Неправилно е това да се нарича заобикаляне на удостоверяването и оторизацията на AWS Application Load Balancer (ALB) или на която и да е друга услуга на AWS, защото техниката разчита на това, че лошият вече има директна връзка с неправилно конфигурирано клиентско приложение, което не удостоверява заявките. Препоръчваме на клиентите да конфигурират приложенията си да приемат заявки само от техния ALB, като използват групи за сигурност и като следват най-добрите практики за сигурност на ALB.“
По отношение на броя на потенциално засегнатите приложения представителят на AWS отбеляза: „Малка част от процента от клиентите на AWS имат приложения, потенциално неправилно конфигурирани по този начин, значително по-малко от оценката на изследователите. Свързахме се директно с всеки един от тези клиенти, за да споделим най-добрите практики за конфигуриране на приложения, които използват ALB.“
