طبق تحقیقات جدید، یک آسیبپذیری مربوط به سرویس مسیریابی ترافیک وب سرویس آمازون که به نام Application Load Balancer شناخته میشود، میتواند توسط یک مهاجم برای دور زدن کنترلهای دسترسی و به خطر انداختن برنامههای کاربردی وب مورد سوء استفاده قرار گیرد. این نقص از یک مشکل پیاده سازی مشتری ناشی می شود، به این معنی که ناشی از یک باگ نرم افزاری نیست. در عوض، قرار گرفتن در معرض با روشی که کاربران AWS احراز هویت را با Application Load Balancer تنظیم کردند، معرفی شد.
مسائل مربوط به پیادهسازی یک جزء حیاتی امنیت ابری هستند، به همان نحو که اگر در باز بماند، محتویات گاوصندوق زرهی محافظت نمیشود. محققان شرکت امنیتی Miggo دریافتند که بسته به نحوه تنظیم احراز هویت Application Load Balancer، مهاجم میتواند به طور بالقوه دستکاری خود را به یک سرویس احراز هویت شرکتی شخص ثالث برای دسترسی به برنامه وب مورد نظر و مشاهده یا استخراج دادهها دستکاری کند.
محققان می گویند که با نگاهی به برنامه های کاربردی وب قابل دسترسی عمومی، بیش از 15000 مورد را شناسایی کرده اند که به نظر می رسد پیکربندی های آسیب پذیری داشته باشند. اگرچه AWS این تخمین را رد میکند و میگوید که «بخش کوچکی از درصد مشتریان AWS برنامههایی دارند که به طور بالقوه به این روش پیکربندی نادرست دارند، بسیار کمتر از برآورد محققان». این شرکت همچنین میگوید که با هر مشتری در لیست کوتاهتر خود تماس گرفته است تا پیادهسازی ایمنتر را توصیه کند. اگرچه AWS به محیط های ابری مشتریان خود دسترسی یا دید ندارد، بنابراین هر عدد دقیق فقط یک تخمین است.
محققان Miggo می گویند که در حین کار با مشتری به این مشکل برخوردند. دانیل شچتر، مدیر عامل Miggo می گوید: “این در محیط های تولید واقعی کشف شد.” ما رفتار عجیبی را در یک سیستم مشتری مشاهده کردیم – فرآیند اعتبار سنجی به نظر می رسید که فقط به طور جزئی انجام می شود، مثل اینکه چیزی گم شده است. این واقعاً نشان می دهد که وابستگی متقابل بین مشتری و فروشنده چقدر عمیق است.”
برای سوء استفاده از مشکل پیادهسازی، یک مهاجم یک حساب AWS و یک Application Load Balancer راهاندازی میکند و سپس طبق معمول توکن احراز هویت خود را امضا میکند. سپس، مهاجم تغییراتی در پیکربندی ایجاد میکند تا به نظر برسد که سرویس احراز هویت هدف آنها توکن را صادر کرده است. سپس مهاجم از AWS میخواهد توکن را طوری امضا کند که گویی به طور قانونی از سیستم هدف نشات گرفته است و از آن برای دسترسی به برنامه هدف استفاده میکند. حمله باید به طور خاص برنامهای با پیکربندی نادرست را هدف قرار دهد که برای عموم قابل دسترسی است یا مهاجم قبلاً به آن دسترسی دارد، اما به آنها اجازه میدهد تا امتیازات خود را در سیستم افزایش دهند.
خدمات وب آمازون می گوید که این شرکت جعل توکن را به عنوان یک آسیب پذیری در Application Load Balancer نمی بیند زیرا اساساً نتیجه مورد انتظار از انتخاب پیکربندی احراز هویت به روشی خاص است. اما پس از اینکه محققان Miggo برای اولین بار یافتههای خود را در اوایل آوریل برای AWS فاش کردند، این شرکت دو تغییر در اسناد به منظور بهروزرسانی توصیههای پیادهسازی خود برای احراز هویت Application Load Balancer انجام داد. یکی، از 1 می، شامل راهنمایی برای افزودن اعتبار سنجی قبل از امضای توکنهای Application Load Balancer بود. و در 19 جولای، این شرکت همچنین یک توصیه صریح اضافه کرد که کاربران سیستمهای خود را طوری تنظیم کنند که ترافیک را تنها از Application Load Balancer خود با استفاده از ویژگی به نام «گروههای امنیتی» دریافت کنند.
منبع: https://www.wired.com/story/aws-application-load-balancer-implementation-compromise/
تحریریه مجله اچ پی