بر اساس تحقیقات جدید، یک مهاجم میتواند از یک آسیبپذیری مرتبط با سرویس مسیریابی ترافیک وب سرویس آمازون به نام Application Load Balancer برای دور زدن کنترلهای دسترسی و به خطر انداختن برنامههای کاربردی وب سوء استفاده کند. این آسیبپذیری ناشی از یک مشکل پیادهسازی کلاینت است، به این معنی که ناشی از یک باگ نرمافزاری نیست. در عوض، این نقص با روشی که کاربران AWS احراز هویت را با استفاده از Application Load Balancer تنظیم کردند، معرفی شد.
مسائل پیادهسازی یک عنصر حیاتی در امنیت ابری هستند، به همان نحو که اگر درب تا حدی باز بماند، محتویات گاوصندوق زرهی محافظت نمیشود. محققان شرکت امنیتی Miggo دریافتند که بسته به نحوه تنظیم احراز هویت متعادل کننده بار برنامه، مهاجم می تواند تحویل آن را به سرویس احراز هویت یک شرکت شخص ثالث دستکاری کند تا به برنامه وب مورد نظر دسترسی پیدا کند و داده ها را مشاهده یا استخراج کند.
محققان می گویند که با مشاهده برنامه های کاربردی وب در دسترس عموم، بیش از 15000 برنامه کاربردی را شناسایی کردند که ظاهراً دارای پیکربندی های آسیب پذیر بودند. با این حال، AWS این تخمین را رد میکند و میگوید که «بخش کوچکی از درصد مشتریان AWS برنامههای کاربردیشان را به این شکل اشتباه پیکربندی کردهاند، که بسیار کمتر از برآورد محققان است». این شرکت همچنین می گوید که با هر مشتری در لیست کوتاه خود تماس گرفته است تا اجرای ایمن تر را توصیه کند. با این حال، AWS به محیطهای ابری مشتریان خود دسترسی یا دید ندارد، بنابراین هر عدد دقیق فقط یک تخمین است.
محققان Mego می گویند که هنگام کار با مشتری با این مشکل مواجه شده اند. مدیر عامل شرکت Mego، Daniel Schechter، می گوید: «این مشکل در محیط های تولید واقعی کشف شد عمیقاً ارتباط بین مشتری و فروشنده است.
برای سوء استفاده از مشکل پیاده سازی، یک مهاجم یک حساب AWS و متعادل کننده بار برنامه راه اندازی می کند و سپس رمز احراز هویت خود را طبق معمول امضا می کند. سپس مهاجم تغییراتی در پیکربندی ایجاد میکند به طوری که به نظر میرسد سرویس احراز هویت هدف، توکن را صادر کرده است. سپس مهاجم رمز را به AWS امضا می کند که گویی به طور قانونی توسط سیستم هدف صادر شده است و از آن برای دسترسی به برنامه هدف استفاده می کند. این حمله باید به طور خاص برنامهای با پیکربندی نادرست را هدف قرار دهد که در دسترس عموم است یا مهاجم قبلاً به آن دسترسی دارد، اما به آنها اجازه میدهد تا امتیازات خود را در سیستم افزایش دهند.
خدمات وب آمازون می گوید که این شرکت جعل توکن را به عنوان یک آسیب پذیری در Application Load Balancer نمی بیند، زیرا اساساً نتیجه مورد انتظار انتخاب برای پیکربندی احراز هویت به روش خاصی است. اما پس از اینکه محققان Miggo برای اولین بار یافتههای خود را در ابتدای آوریل برای خدمات وب آمازون فاش کردند، این شرکت دو تغییر در اسناد با هدف بهروزرسانی توصیههای پیادهسازی برای احراز هویت Application Load Balancer انجام داد. یکی از تغییرات که از 1 می اعمال شد، شامل دستورالعملهایی برای افزودن تأیید قبل از امضای توکنهای Application Load Balancer بود. در 19 جولای، این شرکت همچنین یک توصیه صریح اضافه کرد که کاربران سیستمهای خود را طوری تنظیم کنند که فقط با استفاده از ویژگی به نام «گروههای امنیتی» ترافیک را از Application Load Balancer دریافت کنند.