AWS corrige bug crítico 'FlowFixation' no serviço Airflow para prevenir sequestro de sessão
25 de Março de 2024

Pesquisadores de segurança cibernética compartilharam detalhes sobre uma vulnerabilidade de segurança, agora corrigida, nos Workflows Gerenciados pela AWS (Amazon Web Services) para o Apache Airflow que poderia ser explorada por um ator mal-intencionado para sequestrar as sessões das vítimas e obter execução de código remoto nas instâncias subjacentes.

A vulnerabilidade, agora abordada pela AWS, foi apelidada de FlowFixation pela Tenable.

"Ao assumir a conta da vítima, o atacante poderia ter realizado tarefas como ler strings de conexão, adicionar configurações e acionar gráficos de direção cíclica (DAGS)", disse o pesquisador sênior de segurança Liv Matan em uma análise técnica.

"Sob certas circunstâncias, tais ações podem resultar em execução de código remoto na instância que está por baixo do MWAA e em movimento lateral para outros serviços."

A raiz da vulnerabilidade, de acordo com a empresa de segurança, é uma combinação de fixação de sessão no painel de gerenciamento web do AWS MWAA e uma má configuração de domínio no AWS que resulta em um ataque de script de site cruzado (XSS).

A fixação de sessão é uma técnica de ataque web que ocorre quando um usuário é autenticado em um serviço sem invalidar os identificadores de sessão existentes.

Isso permite ao adversário forçar (ou seja, fixar) um identificador conhecido de sessão em um usuário, para que quando o usuário se autentique, o atacante tenha acesso à sessão autenticada.

Ao explorar essa falha, um ator de ameaça poderia ter forçado as vítimas a usar e autenticar a sessão conhecida do atacante e, finalmente, assumir o controle do painel de gerenciamento web da vítima.

"O FlowFixation destaca um problema maior com o estado atual da arquitetura de domínio dos provedores de nuvem e gerenciamento em relação à Lista de Sufixos Públicos (PSL) e domínios pais compartilhados: ataques no mesmo site", disse Matan, acrescentando que a má configuração também impacta o Microsoft Azure e Google Cloud.

Tenable também aponta que a arquitetura compartilhada, onde vários clientes têm o mesmo domínio pai, poderia ser uma mina de ouro para atacantes que procuram explorar vulnerabilidades como ataques no mesmo site, problemas de origem cruzada e arremesso de cookies, efetivamente levando a um acesso não autorizado, vazamento de dados e execução de código.

A falha foi corrigida tanto pela AWS quanto pela Azure, adicionando os domínios mal configurados à PSL, fazendo com que os navegadores web reconheçam os domínios adicionados como um sufixo público.

O Google Cloud, por outro lado, descreveu a questão como não sendo "grave o suficiente" para merecer uma correção.

"No caso de ataques ao mesmo site, o impacto de segurança da arquitetura de domínio mencionou é significativo, com alto risco de tais ataques em ambientes em nuvem", explicou Matan.

"Dentre eles, os ataques de arremesso de cookies e a proteção de atributos de cookie do mesmo site são particularmente preocupantes, pois ambos podem burlar a proteção CSRF.

Ataques de arremesso de cookies também podem abusar de problemas de fixação de sessão."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...