Siber güvenlik araştırmacıları, Amazon Web Services (AWS) Apache Airflow için Yönetilen İş Akışlarında (MWAA) artık yamalanmış bir güvenlik açığının ayrıntılarını paylaştı; bu güvenlik açığı, kötü niyetli bir aktör tarafından kurbanların oturumlarını ele geçirmek ve temel örneklerde uzaktan kod yürütmek için potansiyel olarak kullanılabilir.
Artık AWS tarafından ele alınan güvenlik açığına kod adı verildi Akış Sabitleme Tenable tarafından.
Kıdemli güvenlik araştırmacısı Liv Matan teknik analizde “Saldırgan, kurbanın hesabını ele geçirdikten sonra bağlantı dizelerini okumak, yapılandırma eklemek ve yönlendirilmiş asiklik grafikleri (DAGS) tetiklemek gibi görevleri gerçekleştirmiş olabilir” dedi.
“Belirli koşullar altında bu tür eylemler, MWAA'nın temelini oluşturan örnekte RCE'ye ve diğer hizmetlere doğru yatay hareketle sonuçlanabilir.”
Siber güvenlik firmasına göre güvenlik açığının temel nedeni, AWS MWAA'nın web yönetim panelindeki oturumun sabitlenmesi ve siteler arası komut dosyası çalıştırma (XSS) saldırısıyla sonuçlanan AWS etki alanı yanlış yapılandırmasının birleşimidir.
Oturum sabitleme, mevcut oturum tanımlayıcılarını geçersiz kılmadan bir kullanıcının bir hizmette kimliği doğrulandığında ortaya çıkan bir web saldırısı tekniğidir. Bu, saldırganın bir kullanıcı üzerinde bilinen bir oturum tanımlayıcısını zorlamasına (diğer bir deyişle sabitlemesine) izin verir, böylece kullanıcı kimliğini doğruladıktan sonra saldırgan, kimliği doğrulanmış oturuma erişebilir.
Bir tehdit aktörü, bu eksikliği kötüye kullanarak, kurbanları saldırganın bilinen oturumunu kullanmaya ve kimlik doğrulamaya zorlayabilir ve sonuçta kurbanın web yönetim panelini ele geçirebilir.
Matan, “FlowFixation, Genel Son Ek Listesi (PSL) ve paylaşılan üst etki alanlarıyla ilgili olarak bulut sağlayıcılarının etki alanı mimarisi ve yönetiminin mevcut durumuyla ilgili daha geniş bir sorunu vurguluyor: aynı site saldırıları” diyen Matan, yanlış yapılandırmanın Microsoft'u da etkilediğini ekledi. Azure ve Google Bulut.
Tenable ayrıca, birkaç müşterinin aynı ana etki alanına sahip olduğu paylaşılan mimarinin, aynı site saldırıları, çapraz köken sorunları ve çerez atma gibi güvenlik açıklarından yararlanmak isteyen saldırganlar için etkin bir şekilde yetkisiz erişime, verilere yol açan bir altın madeni olabileceğine dikkat çekti. sızıntılar ve kod yürütme.
Eksiklik, hem AWS hem de Azure tarafından yanlış yapılandırılmış etki alanlarının PSL'ye eklenmesiyle giderildi ve böylece web tarayıcılarının eklenen etki alanlarını genel bir son ek olarak tanımasına neden oldu. Öte yandan Google Cloud, sorunun düzeltilmesini gerektirecek kadar “yeterince ciddi” olmadığını belirtti.
Matan, “Aynı siteye yapılan saldırılar durumunda, söz konusu etki alanı mimarisinin güvenlik etkisi önemlidir ve bulut ortamlarında bu tür saldırıların riski artar” dedi.
“Bunlar arasında, çerez fırlatma saldırıları ve aynı site özniteliği çerez korumasının atlanması özellikle endişe vericidir çünkü her ikisi de CSRF korumasını atlatabilir. Çerez fırlatma saldırıları ayrıca oturum sabitleme sorunlarını da kötüye kullanabilir.”