Cerca de 15.000 aplicativos que utilizam o Amazon Web Services' (AWS) Application Load Balancer (ALB) para autenticação estão potencialmente suscetíveis a um problema de configuração que poderia expô-los a contornar controles de acesso e comprometer aplicações.
Essa é a conclusão de uma pesquisa da companhia israelense de cibersegurança Miggo, que apelidou o problema de ALBeast.
"Essa vulnerabilidade permite que atacantes acessem diretamente aplicações afetadas, especialmente se estiverem expostas à internet," disse o pesquisador de segurança Liad Eliyahu.
ALB é um serviço da Amazon projetado para rotear o tráfego HTTP e HTTPS para aplicações alvo com base na natureza das solicitações.
Ele também permite aos usuários “descarregar a funcionalidade de autenticação” de suas apps para o ALB.
"O Application Load Balancer autenticará de forma segura usuários conforme eles acessam aplicações na nuvem", afirma a Amazon em seu site.
O Application Load Balancer é integrado de forma contínua com o Amazon Cognito, o que permite que usuários finais se autentiquem através de provedores de identidade sociais como Google, Facebook e Amazon, e através de provedores de identidade empresariais como Microsoft Active Directory via SAML ou qualquer provedor de identidade compatível com OpenID Connect (IdP).
O ataque, em sua essência, envolve um ator de ameaça criando sua própria instância do ALB com autenticação configurada em sua conta.
No próximo passo, o ALB é usado para assinar um token sob seu controle e modificar a configuração do ALB forjando um token assinado pelo ALB autêntico com a identidade de uma vítima, utilizando-o eventualmente para acessar a aplicação alvo, contornando tanto a autenticação quanto a autorização.
Em outras palavras, a ideia é fazer com que a AWS assine o token como se ele realmente tivesse se originado do sistema da vítima e usá-lo para acessar a aplicação, assumindo que ela esteja acessível publicamente ou que o atacante já tenha acesso a ela.
Após a divulgação responsável em Abril de 2024, a Amazon atualizou a documentação da funcionalidade de autenticação e adicionou um novo código para validar o assinante.
"Para garantir a segurança, você deve verificar a assinatura antes de realizar qualquer autorização com base nas reivindicações e validar que o campo 'signer' no cabeçalho JWT contenha o ARN do Application Load Balancer esperado," a Amazon agora afirma explicitamente em sua documentação.
Além disso, como melhor prática de segurança, recomendamos que você restrinja seus alvos para receber tráfego apenas de seu Application Load Balancer.
Você pode conseguir isso configurando o grupo de segurança de seus alvos para referenciar o ID do grupo de segurança do balanceador de carga.
A divulgação ocorre no momento em que a Acronis revelou como uma má configuração do Microsoft Exchange poderia abrir caminho para ataques de spoofing de e-mail, permitindo que atores de ameaças burlassem proteções DKIM, DMARC e SPF e enviassem e-mails maliciosos se passando por entidades confiáveis.
"Se você não bloqueou sua organização do Exchange Online para aceitar e-mails apenas do seu serviço terceirizado, ou se você não ativou o filtragem aprimorada para conectores, qualquer pessoa poderia enviar um e-mail para você através de ourcompany.protection.outlook.com ou ourcompany.mail.protection.outlook.com, e a verificação de DMARC (SPF e DKIM) será ignorada," disse a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...