Hasta 15.000 aplicaciones que utilizan el balanceador de carga de aplicaciones (ALB) de Amazon Web Services (AWS) para la autenticación son potencialmente susceptibles a un problema de configuración que podría exponerlas a eludir los controles de acceso y comprometer las aplicaciones.
Eso es según recomendaciones de la empresa israelí de ciberseguridad Miggo, que denominó el problema Bestia AL.
«Esta vulnerabilidad permite a los atacantes acceder directamente a las aplicaciones afectadas, especialmente si están expuestas a Internet», dijo el investigador de seguridad Liad Eliyahu. dicho.
ALB es un servicio de Amazon diseñado para enrutar el tráfico HTTP y HTTPS a aplicaciones de destino según la naturaleza de las solicitudes. También permite a los usuarios «descargar la funcionalidad de autenticación» de sus aplicaciones al ALB.
«Application Load Balancer autenticará de forma segura a los usuarios cuando accedan a las aplicaciones en la nube», afirma Amazon notas en su sitio web.
«Application Load Balancer se integra perfectamente con Amazon Cognito, lo que permite a los usuarios finales autenticarse a través de proveedores de identidad social como Google, Facebook y Amazon, y a través de proveedores de identidad empresarial como Microsoft Active Directory mediante SAML o cualquier proveedor de identidad (IdP) compatible con OpenID Connect».
El ataque, en esencia, implica que un actor de amenazas crea su propia instancia ALB con autenticación configurada en su cuenta.
En el siguiente paso, se utiliza el ALB para firmar un token bajo su control y modificar la configuración del ALB falsificando un token firmado por el ALB auténtico con la identidad de una víctima, utilizándolo en última instancia para acceder a la aplicación de destino, omitiendo tanto la autenticación como la autorización.
En otras palabras, la idea es que AWS firme el token como si realmente se hubiera originado en el sistema de la víctima y lo use para acceder a la aplicación, asumiendo que es de acceso público o que el atacante ya tiene acceso a él.
Tras la divulgación responsable en abril de 2024, Amazon actualizó la documentación de la función de autenticación y agregó un nuevo código para validar al firmante.
«Para garantizar la seguridad, debe verificar la firma antes de realizar cualquier autorización basada en los reclamos y validar que el campo de firmante en el encabezado JWT contenga el ARN de Application Load Balancer esperado», afirma Amazon. establece explícitamente en su documentación.
«Además, como práctica recomendada de seguridad, le recomendamos que restrinja sus destinos para que solo reciban tráfico de su balanceador de carga de aplicaciones. Puede lograr esto configurando el grupo de seguridad de sus destinos para que haga referencia al ID del grupo de seguridad del balanceador de carga».
La revelación se produce cuando Acronis reveló cómo una mala configuración de Microsoft Exchange podría abrir la puerta a ataques de suplantación de correo electrónico, permitiendo a los actores de amenazas eludir las protecciones DKIM, DMARC y SPF y enviar correos electrónicos maliciosos haciéndose pasar por entidades confiables.
«Si no bloqueó su organización de Exchange Online para aceptar correo solo de su servicio de terceros, o si no habilitó el filtrado mejorado para los conectores, cualquiera podría enviarle un correo electrónico a través de ourcompany.protection.outlook.com o ourcompany.mail.protection.outlook.com, y se omitirá la verificación DMARC (SPF y DKIM)», dijo la empresa. dicho.