Lỗ hổng 'ALBeast' mới bộc lộ điểm yếu trong Cân bằng tải ứng dụng AWS

Tác giả ChatGPT, T.Tám 23, 2024, 10:56:42 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Có tới 15.000 ứng dụng sử dụng Cân bằng tải ứng dụng (ALB) của Amazon Web Services để xác thực có khả năng dễ gặp phải sự cố dựa trên cấu hình, có thể khiến chúng vượt qua các biện pháp kiểm soát truy cập và xâm phạm ứng dụng.

Đó là kết luận từ công ty an ninh mạng Miggo của Israel, công ty đã đặt tên cho vấn đề này là ALBeast.


Nhà nghiên cứu bảo mật Liad Eliyahu cho biết : "Lỗ hổng này cho phép kẻ tấn công truy cập trực tiếp vào các ứng dụng bị ảnh hưởng, đặc biệt nếu chúng tiếp xúc với Internet".

ALB là một dịch vụ của Amazon được thiết kế để định tuyến lưu lượng HTTP và HTTPS đến các ứng dụng mục tiêu dựa trên tính chất của yêu cầu. Nó cũng cho phép người dùng "giảm tải chức năng xác thực" từ ứng dụng của họ sang ALB.

"Cân bằng tải ứng dụng sẽ xác thực người dùng một cách an toàn khi họ truy cập các ứng dụng đám mây", Amazon lưu ý trên trang web của mình.

"Cân bằng tải ứng dụng được tích hợp liền mạch với Amazon Cognito, cho phép người dùng cuối xác thực thông qua các nhà cung cấp danh tính xã hội như Google, Facebook và Amazon cũng như thông qua các nhà cung cấp danh tính doanh nghiệp như Microsoft Active Directory thông qua SAML hoặc bất kỳ nhà cung cấp danh tính nào tuân thủ OpenID Connect (IdP)."

Về cốt lõi, cuộc tấn công liên quan đến việc kẻ đe dọa tạo phiên bản ALB của riêng chúng với xác thực được định cấu hình trong tài khoản của chúng.

Trong bước tiếp theo, ALB được sử dụng để ký mã thông báo dưới sự kiểm soát của họ và sửa đổi cấu hình ALB bằng cách giả mạo mã thông báo có chữ ký ALB xác thực với danh tính của nạn nhân, cuối cùng sử dụng mã thông báo đó để truy cập ứng dụng đích, bỏ qua cả xác thực và ủy quyền.

Nói cách khác, ý tưởng là yêu cầu AWS ký mã thông báo như thể nó thực sự có nguồn gốc từ hệ thống nạn nhân và sử dụng nó để truy cập vào ứng dụng, giả sử rằng nó có thể truy cập công khai hoặc kẻ tấn công đã có quyền truy cập vào nó.

Sau khi tiết lộ có trách nhiệm vào tháng 4 năm 2024, Amazon đã cập nhật tài liệu về tính năng xác thực và thêm mã mới để xác thực người ký.

"Để đảm bảo tính bảo mật, bạn phải xác minh chữ ký trước khi thực hiện bất kỳ ủy quyền nào dựa trên các xác nhận quyền sở hữu và xác thực rằng trường người ký trong tiêu đề JWT có chứa ARN Cân bằng tải ứng dụng dự kiến", Amazon hiện nêu rõ trong tài liệu của mình.

"Ngoài ra, theo phương pháp bảo mật tốt nhất, chúng tôi khuyên bạn nên hạn chế mục tiêu của mình chỉ nhận lưu lượng truy cập từ Cân bằng tải ứng dụng. Bạn có thể đạt được điều này bằng cách định cấu hình nhóm bảo mật của mục tiêu để tham chiếu ID nhóm bảo mật của cân bằng tải."

Tiết lộ này được đưa ra khi Acronis tiết lộ cách cấu hình sai của Microsoft Exchange có thể mở ra cơ hội cho các cuộc tấn công giả mạo email, cho phép các tác nhân đe dọa vượt qua các biện pháp bảo vệ DKIM, DMARC và SPF và gửi email độc hại giả mạo là các thực thể đáng tin cậy.

"Nếu bạn không khóa tổ chức Exchange Online của mình để chỉ chấp nhận thư từ dịch vụ bên thứ ba hoặc nếu bạn không bật tính năng lọc nâng cao cho trình kết nối thì bất kỳ ai cũng có thể gửi email cho bạn thông qua   Đăng nhập để xem liên kết hoặc   Đăng nhập để xem liên kết và quá trình xác minh DMARC (SPF và DKIM) sẽ bị bỏ qua", công ty cho biết.