Miggo Research tarafından yakın zamanda yapılan bir keşif, Amazon Web Services’ta (AWS) binlerce web uygulamasını potansiyel saldırılara maruz bırakan kritik bir yapılandırma açığını ortaya çıkardı.
“ALBeast” olarak adlandırılan bu güvenlik açığı, özellikle Miggo’nun ifşasının ardından güncellenen AWS belgelerine uymayan, AWS’nin Uygulama Yük Dengeleyici (ALB) kimlik doğrulama özelliğini kullanan uygulamaları etkiliyor.
ALBeast güvenlik açığı, ALB kimlik doğrulama özelliğindeki yanlış yapılandırmalardan ve MIS uygulamalarından kaynaklanır. Özellikle saldırganlar, ALB hedef grupları olarak yanlış yapılandırılmış ve doğrudan erişilebilen uygulamaları istismar edebilir.
Güvenlik açığı, saldırganların ALB kimlik doğrulama sürecinde kullanılan JSON Web Token’ları (JWT’ler) taklit ederek kimlik doğrulama ve yetkilendirme mekanizmalarını atlatmasına olanak tanıyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
ALB’yi atlayarak doğrudan erişilebilen uygulamalar saldırılara karşı hassastır. Saldırganlar, bir bölgedeki tüm AWS hesapları için paylaşılan bir genel anahtar sunucusu kullanarak keyfi bir anahtar kimliği (kid) belirleyerek JWT’yi manipüle edebilir. Bu, saldırganın uygulamanın sahte JWT’yi doğrulamak için kullandığı bir genel anahtar sağlamasına olanak tanır.
Yakın zamana kadar AWS’nin dokümanlarında, güvenilir ALB’nin token’ı imzalamasını sağlamak için önemli bir adım olan token imzalayıcısını doğrulamaya ilişkin bir kılavuz yer almıyordu.
Bu gözetim, uygulamaları saldırgan tarafından hazırlanmış belirteçleri kabul etmeye karşı savunmasız bırakır. Özellikle, ALB belirteçleri bir kitle (aud) alanı içermez ve bu da doğrulama sürecini daha da karmaşık hale getirir.
Saldırganlar, kontrollü bir ALB kullanarak keyfi kimlikler, talepler ve yayıncılarla gerçek bir ALB imzalı token oluşturabilir. Kimlik yayıncısını doğrulamayan uygulamalar bu tür saldırılara karşı özellikle savunmasızdır.
Miggo Research, AWS ALB’nin kimlik doğrulama özelliğini kullanan 371.000 uygulamadan 15.000’den fazla potansiyel olarak savunmasız uygulama tespit etti. Bu uygulamaların çoğunda JWT imzalayıcısını doğrulamak için uygulama bulunmuyor ve bu da onları ALBeast saldırısına açık hale getiriyor.
AWS, güvenlik grubu kısıtlamalarını yapılandırmaya yönelik en iyi uygulamaları kullanarak bu güvenlik açığını azaltmak için belgelerini güncelledi.
İmzalayanı doğrulayın: ALB JWT belirtecinin imzalayıcısının beklenen ALB olduğundan emin olun. AWS, geliştiricilerin bu doğrulamayı uygulamasına yardımcı olmak için kod parçacıkları sağlamıştır.
Erişimi Kısıtla: Uygulamaların yalnızca güvenilir ALB’den trafik almasını sağlamak için güvenlik gruplarını yapılandırın. Bu, uygulamanın güvenlik grubu ayarlarında yük dengeleyicinin güvenlik grubu kimliğine başvurulmasını içerir.
AWS, güvenlik açığını kabul etti ve Miggo Research tarafından belirlenen sorunları gidermek için belgelerini güncelledi. Ancak AWS, hizmetin amaçlandığı gibi çalıştığını ve paylaşılan sorumluluk modelinin geçerli olduğunu, yani müşterilerin uygulamalarını güvence altına almak için en son belgeleri ve en iyi uygulamaları takip etmesi gerektiğini belirtti.
ALBeast’in keşfi, güvenlik konusunda en iyi uygulamalara uymanın önemini ve bulut hizmeti yapılandırmalarıyla ilişkili potansiyel riskleri ortaya koyuyor.
Bulut hizmetleri işletme operasyonlarının giderek daha önemli bir parçası haline geldikçe, bu tür güvenlik açıklarına karşı korunmak için güçlü güvenlik önlemlerinin sağlanması hayati önem taşımaktadır.
Miggo Research’ün bulguları, güvenlik araştırmacılarının, işletmelerin güvendiği dijital altyapıyı koruyarak güvenlik açıklarını belirleme ve azaltmada oynadıkları kritik rolü hatırlatıyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access