Un problema de configuración de AWS podría exponer miles de aplicaciones web – MundoDaily

Según una nueva investigación, un atacante puede haber aprovechado una vulnerabilidad relacionada con el servicio de enrutamiento de tráfico de Amazon Web Service conocido como Application Load Balancer para eludir los controles de acceso y comprometer las aplicaciones web. La falla se debe a un problema de implementación del cliente, lo que significa que no es causada por un error de software. En cambio, la exposición se introdujo por la forma en que los usuarios de AWS configuran la autenticación con Application Load Balancer.

Los problemas de implementación son un componente crucial de la seguridad en la nube, de la misma manera que el contenido de una caja fuerte no está protegido si la puerta se deja entreabierta. Investigadores de la empresa de seguridad Miggo encontró que, dependiendo de cómo se configuró la autenticación de Application Load Balancer, un atacante podría potencialmente manipular su transferencia a un servicio de autenticación empresarial de terceros para acceder a la aplicación web de destino y ver o extraer datos.

Los investigadores dicen que al observar aplicaciones web de acceso público, identificaron más de 15.000 que parecen tener configuraciones vulnerables. Sin embargo, AWS cuestiona esta estimación y dice que «una pequeña fracción del uno por ciento de los clientes de AWS tienen aplicaciones potencialmente mal configuradas de esta manera, significativamente menos que la estimación de los investigadores». La compañía también dice que se ha puesto en contacto con todos los clientes de su lista corta para recomendar una implementación más segura. AWS no tiene acceso ni visibilidad de los entornos de nube de sus clientes; sin embargo, cualquier número exacto es solo una estimación.

Los investigadores de Miggo dicen que encontraron el problema mientras trabajaban con un cliente. Esto «fue descubierto en entornos de producción de la vida real», afirma el director general de Miggo, Daniel Shechter. “Observamos un comportamiento extraño en un sistema cliente: el proceso de validación parecía haberse completado solo parcialmente, como si faltara algo. Esto realmente muestra cuán profundas son las interdependencias entre cliente y proveedor”.

Para aprovechar el problema de implementación, un atacante configuraría una cuenta de AWS y un balanceador de carga de aplicaciones y luego firmaría su propio token de autenticación como de costumbre. Luego, el atacante haría cambios en la configuración para que pareciera que el servicio de autenticación del objetivo emitió el token. Luego, el atacante haría que AWS firmara el token como si se originara legítimamente en el sistema del objetivo y lo utilizaría para acceder a la aplicación de destino. El ataque debe apuntar específicamente a una aplicación mal configurada que sea de acceso público o a la que el atacante ya tenga acceso pero que le permitiría aumentar sus privilegios en el sistema.

Amazon Web Services dice que la compañía no ve la suplantación de tokens como una vulnerabilidad en Application Load Balancer porque es esencialmente un resultado esperado de elegir configurar la autenticación de una manera específica. Pero después de que los investigadores de Miggo publicaran sus hallazgos en AWS a principios de abril, la empresa hizo dos cambios en la documentación centrado en actualizar sus recomendaciones de implementación para la autenticación de Application Load Balancer. Uno, fechado el 1 de mayo, incluía orientación para agregar validación antes de que el balanceador de carga de aplicaciones firme los tokens. Y el 19 de julio, la compañía también agregó una recomendación explícita de que los usuarios configuren sus sistemas para recibir tráfico solo desde su propio Application Load Balancer, utilizando una función llamada «grupos de seguridad».