Vulnerabilidad en Amazon Web Services
Una vulnerabilidad relacionada con el servicio de enrutamiento de tráfico de Amazon Web Services, conocido como Application Load Balancer, podría haber sido explotada por un atacante para eludir los controles de acceso y comprometer aplicaciones web, según investigaciones recientes. La falla proviene de un problema de implementación por parte del cliente, lo que significa que no se debe a un error de software. En su lugar, la exposición fue introducida por la forma en que los usuarios de AWS configuraron la autenticación con Application Load Balancer.
Problemas de implementación y seguridad en la nube
Los problemas de implementación son un componente crucial de la seguridad en la nube, de la misma manera que el contenido de una caja fuerte blindada no está protegido si la puerta se deja entreabierta. Investigadores de la firma de seguridad Miggo encontraron que, dependiendo de cómo se configurara la autenticación de Application Load Balancer, un atacante podría manipular su transferencia a un servicio de autenticación corporativo de terceros para acceder a la aplicación web objetivo y ver o exfiltrar datos.
Estimaciones sobre configuraciones vulnerables
Los investigadores indican que al observar aplicaciones web accesibles públicamente, han identificado más de 15,000 que parecen tener configuraciones vulnerables. Sin embargo, AWS disputa esta estimación y afirma que “una pequeña fracción de un porcentaje de los clientes de AWS tiene aplicaciones potencialmente mal configuradas de esta manera, significativamente menos que la estimación de los investigadores”. La compañía también señala que ha contactado a cada cliente en su lista más corta para recomendar una implementación más segura. No obstante, AWS no tiene acceso ni visibilidad de los entornos en la nube de sus clientes, por lo que cualquier número exacto es solo una estimación.
Descubrimiento de la vulnerabilidad
Los investigadores de Miggo señalan que se encontraron con el problema mientras trabajaban con un cliente. “Esto fue descubierto en entornos de producción de la vida real”, dice Daniel Shechter, CEO de Miggo. “Observamos un comportamiento extraño en un sistema de cliente: el proceso de validación parecía hacerse solo parcialmente, como si faltara algo. Esto realmente muestra cuán profundas son las interdependencias entre el cliente y el proveedor.”
Cómo podría ser explotada la vulnerabilidad
Para explotar el problema de implementación, un atacante debería crear una cuenta de AWS y un Application Load Balancer, y luego firmar su propio token de autenticación como de costumbre. A continuación, el atacante realizaría cambios de configuración para que pareciera que el servicio de autenticación de su objetivo emitió el token. Luego, el atacante haría que AWS firmara el token como si hubiera originado legítimamente desde el sistema del objetivo y lo utilizaría para acceder a la aplicación objetivo. El ataque debe dirigirse específicamente a una aplicación mal configurada que sea accesible públicamente o a la que el atacante ya tenga acceso, pero le permitiría escalar sus privilegios en el sistema.
Recomendaciones de AWS tras la divulgación de resultados
Amazon Web Services afirma que la compañía no considera que la falsificación de tokens sea una vulnerabilidad en Application Load Balancer, ya que es esencialmente un resultado esperado de optar por configurar la autenticación de una manera particular. Sin embargo, después de que los investigadores de Miggo revelaron sus hallazgos a AWS a principios de abril, la compañía realizó dos cambios en la documentación destinados a actualizar sus recomendaciones de implementación para la autenticación de Application Load Balancer. Uno, a partir del 1 de mayo, incluyó orientación para agregar validación antes de que Application Load Balancer firme tokens. Y el 19 de julio, la compañía también añadió una recomendación explícita para que los usuarios configuren sus sistemas para recibir tráfico solo de su propio Application Load Balancer utilizando una función llamada “grupos de seguridad”.
Fuente y créditos: www.wired.com
Cats: Security
