Uma vulnerabilidade relacionada ao serviço de roteamento de tráfego da Amazon Web Services, conhecido como Application Load Balancer, poderia ter sido explorada por um atacante para contornar controles de acesso e comprometer aplicações web, segundo uma nova pesquisa.
A falha decorre de um problema de implementação por parte do cliente, o que significa que não é causada por um bug de software.
Em vez disso, a exposição foi introduzida pela maneira como os usuários da AWS configuraram a autenticação com o Application Load Balancer.
Questões de implementação são um componente crucial da segurança em nuvem da mesma forma que o conteúdo de um cofre blindado não está protegido se a porta for deixada entreaberta.
Pesquisadores da firma de segurança Miggo descobriram que, a depender de como a autenticação do Application Load Balancer foi configurada, um atacante poderia potencialmente manipular a transferência para um serviço de autenticação corporativo de terceiros para acessar a aplicação web alvo e visualizar ou exfiltrar dados.
Os pesquisadores dizem que, olhando para aplicações web publicamente acessíveis, identificaram mais de 15.000 que parecem ter configurações vulneráveis.
A AWS contesta essa estimativa, porém, e diz que “uma pequena fração de um percentual de clientes da AWS têm aplicações potencialmente configuradas de forma errada desta maneira, significativamente menos do que a estimativa dos pesquisadores.”
A companhia também diz que entrou em contato com cada cliente em sua lista mais curta para recomendar uma implementação mais segura.
No entanto, a AWS não tem acesso ou visibilidade nos ambientes em nuvem de seus clientes, portanto, qualquer número exato é apenas uma estimativa.
Os pesquisadores da Miggo dizem que se depararam com o problema enquanto trabalhavam com um cliente.
“Isso foi descoberto em ambientes de produção reais,” diz Daniel Shechter, CEO da Miggo.
Observamos um comportamento estranho no sistema de um cliente — o processo de validação parecia estar sendo feito apenas parcialmente, como se estivesse faltando algo.
Isso realmente mostra quão profundas vão as interdependências entre o cliente e o fornecedor.
Para explorar o problema de implementação, um atacante configuraria uma conta da AWS e um Application Load Balancer, e então assinaria seu próprio token de autenticação como de costume.
Em seguida, o atacante faria alterações de configuração para parecer que o serviço de autenticação do alvo emitiu o token.
Depois, o atacante faria a AWS assinar o token como se ele tivesse se originado legitimamente do sistema do alvo e o usaria para acessar a aplicação alvo.
O ataque deve especificamente mirar uma aplicação configurada de forma errada que seja publicamente acessível ou à qual o atacante já tenha acesso, mas permitiria a eles escalar seus privilégios no sistema.
A Amazon Web Services discorda que a falsificação de tokens poderia ter sido realizada desta forma e diz que as mudanças que os pesquisadores estão descrevendo são um resultado esperado da escolha de configurar a autenticação de uma maneira particular que não permitiria a evasão.
Mas, após os pesquisadores da Miggo divulgarem suas descobertas para a AWS no início de abril, a empresa fez duas alterações na documentação voltadas para atualizar suas recomendações de implementação para autenticação do Application Load Balancer.
Uma, de 1º de maio, incluiu orientações para adicionar validação antes que o Application Load Balancer assine tokens.
E, em 19 de julho, a companhia também adicionou uma recomendação explícita para que os usuários configurem seus sistemas para receber tráfego apenas do seu próprio Application Load Balancer usando um recurso chamado “security groups”.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...