Yeni bir araştırmaya göre, Amazon Web Service’in Application Load Balancer olarak bilinen trafik yönlendirme hizmetiyle ilgili bir güvenlik açığı, bir saldırgan tarafından erişim kontrollerini atlatmak ve web uygulamalarını tehlikeye atmak için kullanılmış olabilir. Bu kusur, bir müşteri uygulama sorunundan kaynaklanıyor, yani bir yazılım hatasından kaynaklanmıyor. Bunun yerine, bu açığa çıkma AWS kullanıcılarının Application Load Balancer ile kimlik doğrulamayı ayarlama şekliyle ortaya çıktı.
Uygulama sorunları, zırhlı bir kasanın içeriğinin kapı açık bırakıldığında korunmaması gibi bulut güvenliğinin önemli bir bileşenidir. Güvenlik firması Miggo’dan araştırmacılar, Application Load Balancer kimlik doğrulamasının nasıl kurulduğuna bağlı olarak, bir saldırganın hedef web uygulamasına erişmek ve verileri görüntülemek veya dışarı çıkarmak için üçüncü taraf bir kurumsal kimlik doğrulama hizmetine devretmeyi manipüle edebileceğini buldu.
Araştırmacılar, herkese açık web uygulamalarına baktıklarında, savunmasız yapılandırmalara sahip gibi görünen 15.000’den fazla uygulama tespit ettiklerini söylüyor. Ancak AWS bu tahmini reddediyor ve “AWS müşterilerinin küçük bir yüzdesinin, araştırmacıların tahmininden önemli ölçüde daha az sayıda, bu şekilde yanlış yapılandırılmış uygulamalara sahip olduğunu” söylüyor. Şirket ayrıca, daha kısa listesindeki her müşteriyle daha güvenli bir uygulama önermek için iletişime geçtiğini söylüyor. Ancak AWS’nin müşterilerinin bulut ortamlarına erişimi veya görünürlüğü yok, bu nedenle kesin bir sayı yalnızca bir tahmindir.
Miggo araştırmacıları, bir müşteriyle çalışırken bu sorunla karşılaştıklarını söylüyor. Miggo CEO’su Daniel Shechter, bunun “gerçek hayattaki üretim ortamlarında keşfedildiğini” söylüyor. “Bir müşteri sisteminde garip bir davranış gözlemledik; doğrulama süreci sanki sadece kısmen yapılıyormuş gibi, sanki eksik bir şey varmış gibi. Bu, müşteri ile satıcı arasındaki karşılıklı bağımlılıkların ne kadar derin olduğunu gerçekten gösteriyor.”
Uygulama sorununu istismar etmek için saldırgan bir AWS hesabı ve bir Uygulama Yük Dengeleyicisi kurar ve ardından her zamanki gibi kendi kimlik doğrulama belirtecini imzalar. Daha sonra saldırgan, hedefinin kimlik doğrulama hizmetinin belirteci vermiş gibi görünmesi için yapılandırma değişiklikleri yapar. Daha sonra saldırgan, AWS’nin belirteci meşru bir şekilde hedefin sisteminden kaynaklanmış gibi imzalamasını ve hedef uygulamaya erişmek için kullanmasını sağlar. Saldırı, genel olarak erişilebilir olan veya saldırganın zaten erişimi olan ancak sistemdeki ayrıcalıklarını artırmalarına izin verecek yanlış yapılandırılmış bir uygulamayı özel olarak hedeflemelidir.
Amazon Web Services, şirketin token sahteciliğini Application Load Balancer’da bir güvenlik açığı olarak görmediğini, çünkü bunun esasen kimlik doğrulamayı belirli bir şekilde yapılandırmayı seçmenin beklenen bir sonucu olduğunu söylüyor. Ancak Miggo araştırmacıları bulgularını ilk olarak Nisan ayının başında AWS’ye açıkladıktan sonra şirket, Application Load Balancer kimlik doğrulaması için uygulama önerilerini güncellemeye yönelik iki belge değişikliği yaptı. 1 Mayıs’tan itibaren Application Load Balancer tokenleri imzalamadan önce doğrulama eklemeye yönelik rehberlik içeriyordu. Ve 19 Temmuz’da şirket ayrıca kullanıcıların sistemlerini yalnızca kendi Application Load Balancer’larından gelen trafiği “güvenlik grupları” adı verilen bir özellik kullanarak alacak şekilde ayarlamaları yönünde açık bir öneri ekledi.