Pesquisadores de segurança cibernética compartilharam detalhes sobre uma vulnerabilidade de segurança, agora corrigida, nos Workflows Gerenciados pela AWS (Amazon Web Services) para o Apache Airflow que poderia ser explorada por um ator mal-intencionado para sequestrar as sessões das vítimas e obter execução de código remoto nas instâncias subjacentes.
A vulnerabilidade, agora abordada pela AWS, foi apelidada de FlowFixation pela Tenable.
"Ao assumir a conta da vítima, o atacante poderia ter realizado tarefas como ler strings de conexão, adicionar configurações e acionar gráficos de direção cíclica (DAGS)", disse o pesquisador sênior de segurança Liv Matan em uma análise técnica.
"Sob certas circunstâncias, tais ações podem resultar em execução de código remoto na instância que está por baixo do MWAA e em movimento lateral para outros serviços."
A raiz da vulnerabilidade, de acordo com a empresa de segurança, é uma combinação de fixação de sessão no painel de gerenciamento web do AWS MWAA e uma má configuração de domínio no AWS que resulta em um ataque de script de site cruzado (XSS).
A fixação de sessão é uma técnica de ataque web que ocorre quando um usuário é autenticado em um serviço sem invalidar os identificadores de sessão existentes.
Isso permite ao adversário forçar (ou seja, fixar) um identificador conhecido de sessão em um usuário, para que quando o usuário se autentique, o atacante tenha acesso à sessão autenticada.
Ao explorar essa falha, um ator de ameaça poderia ter forçado as vítimas a usar e autenticar a sessão conhecida do atacante e, finalmente, assumir o controle do painel de gerenciamento web da vítima.
"O FlowFixation destaca um problema maior com o estado atual da arquitetura de domínio dos provedores de nuvem e gerenciamento em relação à Lista de Sufixos Públicos (PSL) e domínios pais compartilhados: ataques no mesmo site", disse Matan, acrescentando que a má configuração também impacta o Microsoft Azure e Google Cloud.
Tenable também aponta que a arquitetura compartilhada, onde vários clientes têm o mesmo domínio pai, poderia ser uma mina de ouro para atacantes que procuram explorar vulnerabilidades como ataques no mesmo site, problemas de origem cruzada e arremesso de cookies, efetivamente levando a um acesso não autorizado, vazamento de dados e execução de código.
A falha foi corrigida tanto pela AWS quanto pela Azure, adicionando os domínios mal configurados à PSL, fazendo com que os navegadores web reconheçam os domínios adicionados como um sufixo público.
O Google Cloud, por outro lado, descreveu a questão como não sendo "grave o suficiente" para merecer uma correção.
"No caso de ataques ao mesmo site, o impacto de segurança da arquitetura de domínio mencionou é significativo, com alto risco de tais ataques em ambientes em nuvem", explicou Matan.
"Dentre eles, os ataques de arremesso de cookies e a proteção de atributos de cookie do mesmo site são particularmente preocupantes, pois ambos podem burlar a proteção CSRF.
Ataques de arremesso de cookies também podem abusar de problemas de fixação de sessão."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...