Jusqu’à 15 000 applications utilisant l’équilibreur de charge d’application (ALB) d’Amazon Web Services (AWS) pour l’authentification sont potentiellement exposées à un problème basé sur la configuration qui pourrait les exposer à contourner les contrôles d’accès et à compromettre les applications.
C’est selon résultats de la société israélienne de cybersécurité Miggo, qui a surnommé le problème Albeast.
« Cette vulnérabilité permet aux attaquants d’accéder directement aux applications affectées, en particulier si elles sont exposées à Internet », a déclaré Liad Eliyahu, chercheur en sécurité. dit.
ALB est un service Amazon conçu pour acheminer le trafic HTTP et HTTPS vers des applications ciblées en fonction de la nature des requêtes. Il permet également aux utilisateurs de « décharger la fonctionnalité d’authentification » de leurs applications vers l’ALB.
« Application Load Balancer authentifiera en toute sécurité les utilisateurs lorsqu’ils accèdent aux applications cloud », Amazon Remarques sur son site internet.
« Application Load Balancer est parfaitement intégré à Amazon Cognito, ce qui permet aux utilisateurs finaux de s’authentifier via des fournisseurs d’identité sociale tels que Google, Facebook et Amazon, et via des fournisseurs d’identité d’entreprise tels que Microsoft Active Directory via SAML ou tout fournisseur d’identité compatible OpenID Connect (IdP). »
L’attaque, à la base, implique qu’un acteur de la menace crée sa propre instance ALB avec l’authentification configurée dans son compte.
À l’étape suivante, l’ALB est utilisé pour signer un jeton sous son contrôle et modifier la configuration de l’ALB en forgeant un jeton authentique signé par l’ALB avec l’identité d’une victime, l’utilisant finalement pour accéder à l’application cible, contournant à la fois l’authentification et l’autorisation.
En d’autres termes, l’idée est de faire en sorte qu’AWS signe le jeton comme s’il provenait réellement du système de la victime et de l’utiliser pour accéder à l’application, en supposant qu’il soit accessible au public ou que l’attaquant y ait déjà accès.
Suite à une divulgation responsable en avril 2024, Amazon a mis à jour la documentation de la fonction d’authentification et ajouté un nouveau code pour valider le signataire.
« Pour garantir la sécurité, vous devez vérifier la signature avant d’effectuer toute autorisation basée sur les revendications et valider que le champ du signataire dans l’en-tête JWT contient l’ARN de l’équilibreur de charge d’application attendu », explique désormais Amazon déclare explicitement dans sa documentation.
« En outre, en tant que bonne pratique de sécurité, nous vous recommandons de limiter vos cibles pour qu’elles ne reçoivent que le trafic provenant de votre équilibreur de charge d’application. Vous pouvez y parvenir en configurant le groupe de sécurité de vos cibles pour référencer l’ID du groupe de sécurité de l’équilibreur de charge. »
Cette révélation intervient alors qu’Acronis a révélé comment une mauvaise configuration de Microsoft Exchange pourrait ouvrir la porte à des attaques d’usurpation d’identité par courrier électronique, permettant aux acteurs de la menace de contourner les protections DKIM, DMARC et SPF et d’envoyer des courriers électroniques malveillants se faisant passer pour des entités de confiance.
« Si vous n’avez pas verrouillé votre organisation Exchange Online pour accepter uniquement le courrier provenant de votre service tiers, ou si vous n’avez pas activé le filtrage amélioré pour les connecteurs, n’importe qui pourrait vous envoyer un courrier électronique via ourcompany.protection.outlook.com ou ourcompany.mail.protection.outlook.com, et la vérification DMARC (SPF et DKIM) sera ignorée », a déclaré la société. dit.