{"id":1329840,"date":"2024-08-23T01:14:15","date_gmt":"2024-08-23T01:14:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-vulnerabilidad-albeast-expone-una-debilidad-en-el-balanceador-de-carga-de-aplicaciones-de-aws\/"},"modified":"2024-08-23T01:14:20","modified_gmt":"2024-08-23T01:14:20","slug":"la-nueva-vulnerabilidad-albeast-expone-una-debilidad-en-el-balanceador-de-carga-de-aplicaciones-de-aws","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-vulnerabilidad-albeast-expone-una-debilidad-en-el-balanceador-de-carga-de-aplicaciones-de-aws\/","title":{"rendered":"La nueva vulnerabilidad ‘ALBeast’ expone una debilidad en el balanceador de carga de aplicaciones de AWS"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad en la nube \/ Seguridad de aplicaciones<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Hasta 15.000 aplicaciones que utilizan el balanceador de carga de aplicaciones (ALB) de Amazon Web Services (AWS) para la autenticaci\u00f3n son potencialmente susceptibles a un problema de configuraci\u00f3n que podr\u00eda exponerlas a eludir los controles de acceso y comprometer las aplicaciones.<\/p>\n

Eso es seg\u00fan recomendaciones<\/a> de la empresa israel\u00ed de ciberseguridad Miggo, que denomin\u00f3 el problema Bestia AL<\/strong>.<\/p>\n

“Esta vulnerabilidad permite a los atacantes acceder directamente a las aplicaciones afectadas, especialmente si est\u00e1n expuestas a Internet”, dijo el investigador de seguridad Liad Eliyahu. dicho<\/a>.<\/p>\n

ALB es un servicio de Amazon dise\u00f1ado para enrutar el tr\u00e1fico HTTP y HTTPS a aplicaciones de destino seg\u00fan la naturaleza de las solicitudes. Tambi\u00e9n permite a los usuarios “descargar la funcionalidad de autenticaci\u00f3n” de sus aplicaciones al ALB.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Application Load Balancer autenticar\u00e1 de forma segura a los usuarios cuando accedan a las aplicaciones en la nube”, afirma Amazon notas<\/a> en su sitio web.<\/p>\n

“Application Load Balancer se integra perfectamente con Amazon Cognito, lo que permite a los usuarios finales autenticarse a trav\u00e9s de proveedores de identidad social como Google, Facebook y Amazon, y a trav\u00e9s de proveedores de identidad empresarial como Microsoft Active Directory mediante SAML o cualquier proveedor de identidad (IdP) compatible con OpenID Connect”.<\/p>\n

El ataque, en esencia, implica que un actor de amenazas crea su propia instancia ALB con autenticaci\u00f3n configurada en su cuenta.<\/p>\n

En el siguiente paso, se utiliza el ALB para firmar un token bajo su control y modificar la configuraci\u00f3n del ALB falsificando un token firmado por el ALB aut\u00e9ntico con la identidad de una v\u00edctima, utiliz\u00e1ndolo en \u00faltima instancia para acceder a la aplicaci\u00f3n de destino, omitiendo tanto la autenticaci\u00f3n como la autorizaci\u00f3n.<\/p>\n

En otras palabras, la idea es que AWS firme el token como si realmente se hubiera originado en el sistema de la v\u00edctima y lo use para acceder a la aplicaci\u00f3n, asumiendo que es de acceso p\u00fablico o que el atacante ya tiene acceso a \u00e9l.<\/p>\n

Tras la divulgaci\u00f3n responsable en abril de 2024, Amazon actualiz\u00f3 la documentaci\u00f3n de la funci\u00f3n de autenticaci\u00f3n y agreg\u00f3 un nuevo c\u00f3digo para validar al firmante.<\/p>\n

“Para garantizar la seguridad, debe verificar la firma antes de realizar cualquier autorizaci\u00f3n basada en los reclamos y validar que el campo de firmante en el encabezado JWT contenga el ARN de Application Load Balancer esperado”, afirma Amazon. establece expl\u00edcitamente<\/a> en su documentaci\u00f3n.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

“Adem\u00e1s, como pr\u00e1ctica recomendada de seguridad, le recomendamos que restrinja sus destinos para que solo reciban tr\u00e1fico de su balanceador de carga de aplicaciones. Puede lograr esto configurando el grupo de seguridad de sus destinos para que haga referencia al ID del grupo de seguridad del balanceador de carga”.<\/p>\n

La revelaci\u00f3n se produce cuando Acronis revel\u00f3 c\u00f3mo una mala configuraci\u00f3n de Microsoft Exchange podr\u00eda abrir la puerta a ataques de suplantaci\u00f3n de correo electr\u00f3nico, permitiendo a los actores de amenazas eludir las protecciones DKIM, DMARC y SPF y enviar correos electr\u00f3nicos maliciosos haci\u00e9ndose pasar por entidades confiables.<\/p>\n

“Si no bloque\u00f3 su organizaci\u00f3n de Exchange Online para aceptar correo solo de su servicio de terceros, o si no habilit\u00f3 el filtrado mejorado para los conectores, cualquiera podr\u00eda enviarle un correo electr\u00f3nico a trav\u00e9s de ourcompany.protection.outlook.com o ourcompany.mail.protection.outlook.com, y se omitir\u00e1 la verificaci\u00f3n DMARC (SPF y DKIM)”, dijo la empresa. dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n