Amazon Web Services’ın (AWS) Uygulama Yük Dengeleyicisini (ALB) kimlik doğrulama için kullanan 15.000’e kadar uygulama, erişim kontrollerini atlatma ve uygulamaları tehlikeye atma riskine yol açabilecek yapılandırma tabanlı bir soruna karşı potansiyel olarak hassastır.
Buna göre bulgular İsrail siber güvenlik şirketi Miggo’dan gelen sorun, AL Canavarı.
Güvenlik araştırmacısı Liad Eliyahu, “Bu güvenlik açığı, saldırganların, özellikle internete bağlıysa, etkilenen uygulamalara doğrudan erişmesine olanak sağlıyor” dedi. söz konusu.
ALB, isteklerin doğasına göre HTTP ve HTTPS trafiğini hedef uygulamalara yönlendirmek için tasarlanmış bir Amazon hizmetidir. Ayrıca kullanıcıların uygulamalarından ALB’ye “kimlik doğrulama işlevini boşaltmalarına” olanak tanır.
“Uygulama Yük Dengeleyici, kullanıcıların bulut uygulamalarına erişirken güvenli bir şekilde kimlik doğrulamasını yapacak,” Amazon notlar web sitesinde.
“Application Load Balancer, son kullanıcıların Google, Facebook ve Amazon gibi sosyal kimlik sağlayıcıları ve Microsoft Active Directory gibi kurumsal kimlik sağlayıcıları aracılığıyla SAML veya herhangi bir OpenID Connect uyumlu kimlik sağlayıcısı (IdP) aracılığıyla kimlik doğrulaması yapmasına olanak tanıyan Amazon Cognito ile sorunsuz bir şekilde entegre edilmiştir.”
Saldırının özünde tehdit aktörünün kendi hesabında yapılandırılmış kimlik doğrulamasıyla kendi ALB örneğini oluşturması yer alıyor.
Bir sonraki adımda, ALB, kendi kontrolleri altındaki bir belirteci imzalamak ve kurbanın kimliğiyle gerçek bir ALB imzalı belirteç oluşturarak ALB yapılandırmasını değiştirmek için kullanılır ve nihayetinde kimlik doğrulama ve yetkilendirmeyi atlatarak hedef uygulamaya erişmek için kullanılır.
Başka bir deyişle, fikir AWS’nin token’ı sanki gerçekten kurban sistemden geliyormuş gibi imzalaması ve uygulamaya erişmek için bunu kullanmasıdır; bunun ya herkese açık olduğunu ya da saldırganın zaten erişimi olduğunu varsaymaktır.
Amazon, Nisan 2024’te yaptığı sorumlu açıklamanın ardından kimlik doğrulama özelliği belgelerini güncelledi ve imzalayanı doğrulamak için yeni bir kod ekledi.
“Güvenliği sağlamak için, iddialara dayalı herhangi bir yetkilendirme yapmadan önce imzayı doğrulamalı ve JWT başlığındaki imzalayan alanının beklenen Uygulama Yük Dengeleyici ARN’sini içerdiğini doğrulamalısınız,” Amazon artık açıkça belirtiyor belgelerinde.
“Ayrıca, bir güvenlik en iyi uygulaması olarak hedeflerinizi yalnızca Uygulama Yük Dengeleyicinizden gelen trafiği alacak şekilde sınırlamanızı öneririz. Bunu, hedeflerinizin güvenlik grubunu yük dengeleyicinin güvenlik grubu kimliğine başvuracak şekilde yapılandırarak başarabilirsiniz.”
Açıklama, Acronis’in Microsoft Exchange yanlış yapılandırmasının e-posta sahteciliği saldırılarına kapı açabileceğini, tehdit aktörlerinin DKIM, DMARC ve SPF korumalarını atlatarak güvenilir varlıklar gibi görünen kötü amaçlı e-postalar göndermesine olanak sağlayabileceğini açıklamasının ardından geldi.
“Exchange Online organizasyonunuzu yalnızca üçüncü taraf hizmetinizden gelen postaları kabul edecek şekilde kilitlemediyseniz veya bağlayıcılar için gelişmiş filtrelemeyi etkinleştirmediyseniz, herkes size ourcompany.protection.outlook.com veya ourcompany.mail.protection.outlook.com üzerinden e-posta gönderebilir ve DMARC (SPF ve DKIM) doğrulaması atlanacaktır”, şirket söz konusu.