یک مشکل پیکربندی AWS می تواند هزاران برنامه وب را در معرض دید قرار دهد

یک مشکل پیکربندی AWS می تواند هزاران برنامه وب را در معرض دید قرار دهد

طبق تحقیقات جدید، یک آسیب‌پذیری مربوط به سرویس مسیریابی ترافیک وب سرویس آمازون که به نام Application Load Balancer شناخته می‌شود، می‌تواند توسط یک مهاجم برای دور زدن کنترل‌های دسترسی و به خطر انداختن برنامه‌های کاربردی وب مورد سوء استفاده قرار گیرد. این نقص از یک مشکل پیاده سازی مشتری ناشی می شود، به این معنی که ناشی از یک باگ نرم افزاری نیست. در عوض، قرار گرفتن در معرض با روشی که کاربران AWS احراز هویت را با Application Load Balancer تنظیم کردند، معرفی شد.

مسائل مربوط به پیاده‌سازی یک جزء حیاتی امنیت ابری هستند، به همان نحو که اگر در باز بماند، محتویات گاوصندوق زرهی محافظت نمی‌شود. محققان شرکت امنیتی Miggo دریافتند که بسته به نحوه تنظیم احراز هویت Application Load Balancer، مهاجم می‌تواند به طور بالقوه دستکاری خود را به یک سرویس احراز هویت شرکتی شخص ثالث برای دسترسی به برنامه وب مورد نظر و مشاهده یا استخراج داده‌ها دستکاری کند.

محققان می گویند که با نگاهی به برنامه های کاربردی وب قابل دسترسی عمومی، بیش از 15000 مورد را شناسایی کرده اند که به نظر می رسد پیکربندی های آسیب پذیری داشته باشند. اگرچه AWS این تخمین را رد می‌کند و می‌گوید که «بخش کوچکی از درصد مشتریان AWS برنامه‌هایی دارند که به طور بالقوه به این روش پیکربندی نادرست دارند، بسیار کمتر از برآورد محققان». این شرکت همچنین می‌گوید که با هر مشتری در لیست کوتاه‌تر خود تماس گرفته است تا پیاده‌سازی ایمن‌تر را توصیه کند. اگرچه AWS به محیط های ابری مشتریان خود دسترسی یا دید ندارد، بنابراین هر عدد دقیق فقط یک تخمین است.

محققان Miggo می گویند که در حین کار با مشتری به این مشکل برخوردند. دانیل شچتر، مدیر عامل Miggo می گوید: “این در محیط های تولید واقعی کشف شد.” ما رفتار عجیبی را در یک سیستم مشتری مشاهده کردیم – فرآیند اعتبار سنجی به نظر می رسید که فقط به طور جزئی انجام می شود، مثل اینکه چیزی گم شده است. این واقعاً نشان می دهد که وابستگی متقابل بین مشتری و فروشنده چقدر عمیق است.”

برای سوء استفاده از مشکل پیاده‌سازی، یک مهاجم یک حساب AWS و یک Application Load Balancer راه‌اندازی می‌کند و سپس طبق معمول توکن احراز هویت خود را امضا می‌کند. سپس، مهاجم تغییراتی در پیکربندی ایجاد می‌کند تا به نظر برسد که سرویس احراز هویت هدف آنها توکن را صادر کرده است. سپس مهاجم از AWS می‌خواهد توکن را طوری امضا کند که گویی به طور قانونی از سیستم هدف نشات گرفته است و از آن برای دسترسی به برنامه هدف استفاده می‌کند. حمله باید به طور خاص برنامه‌ای با پیکربندی نادرست را هدف قرار دهد که برای عموم قابل دسترسی است یا مهاجم قبلاً به آن دسترسی دارد، اما به آنها اجازه می‌دهد تا امتیازات خود را در سیستم افزایش دهند.

خدمات وب آمازون می گوید که این شرکت جعل توکن را به عنوان یک آسیب پذیری در Application Load Balancer نمی بیند زیرا اساساً نتیجه مورد انتظار از انتخاب پیکربندی احراز هویت به روشی خاص است. اما پس از اینکه محققان Miggo برای اولین بار یافته‌های خود را در اوایل آوریل برای AWS فاش کردند، این شرکت دو تغییر در اسناد به منظور به‌روزرسانی توصیه‌های پیاده‌سازی خود برای احراز هویت Application Load Balancer انجام داد. یکی، از 1 می، شامل راهنمایی برای افزودن اعتبار سنجی قبل از امضای توکن‌های Application Load Balancer بود. و در 19 جولای، این شرکت همچنین یک توصیه صریح اضافه کرد که کاربران سیستم‌های خود را طوری تنظیم کنند که ترافیک را تنها از Application Load Balancer خود با استفاده از ویژگی به نام «گروه‌های امنیتی» دریافت کنند.

منبع: https://www.wired.com/story/aws-application-load-balancer-implementation-compromise/

تحریریه مجله اچ پی