ALBeast, saldırganların AWS ALB tabanlı uygulamalarda kimlik doğrulama ve yetkilendirmeyi atlatmalarına olanak tanıyan kritik bir güvenlik açığıdır. Bu riski nasıl azaltacağınızı ve uygulamalarınızı istismardan nasıl koruyacağınızı öğrenin.
Miggo Research, AWS Uygulama Yük Dengeleyici (ALB) kullanan uygulamalardaki kimlik doğrulama mekanizmalarını aşarak uygulamaların gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atabilen ALBeast adı verilen yapılandırma tabanlı bir güvenlik açığı keşfetti.
ALB, OSI modelinin uygulama katmanında (Katman 7) çalışan bir yük dengeleyici türüdür. Gelen uygulama trafiğini, isteğin içeriğine göre EC2 örnekleri, kapsayıcılar veya IP adresleri gibi birden fazla hedefe dağıtır. Bu, web uygulamalarının ölçeklenebilirliğini, güvenilirliğini ve hata toleransını iyileştirmeye yardımcı olur.
ALBeast, AWS ALB kullanıcı kimlik doğrulamasında yanlış yapılandırma ve uygulama sorunudur ve iş kaynaklarına yetkisiz erişime, veri ihlallerine ve veri sızdırılmasına yol açar. Kullanıcı kimlik doğrulaması için AWS ALB’ye güvenen uygulamaları, özellikle güncellenmiş AWS belgelerine uymayanları etkileyebilir.
Miggo araştırmacıları, “Bu güvenlik açığı, saldırganların özellikle internete bağlıysa etkilenen uygulamalara doğrudan erişmesine olanak tanıyor” dedi.
Miggo Research, analiz edilen 371.000 ALB’den 15.000’den fazla potansiyel olarak savunmasız ALB ve AWS ALB’nin kimlik doğrulama özelliğini kullanan uygulama tespit etti. Araştırmacılar, uygulamaların ve açık kaynaklı projelerin yaklaşık %95’inin imzalayan doğrulama uygulamasından yoksun olduğunu ve çoğunun önerilere göre erişimi kısıtlamadığını tespit etti. IdP kullanan OIDC ve AWS Cognito olmak üzere iki AWS ALB kimlik doğrulama mekanizmasının uygulamaları savunmasız hale getirdiği tespit edildi.
Aşağıdaki adımlar bir saldırganın ALBeast’i nasıl istismar edebileceğini göstermektedir:
- Kötü amaçlı bir ALB oluşturma: Saldırgan, kimlik doğrulamasıyla yapılandırılmış kendi ALB’sini kurar.
- Jeton sahteciliği: İddiaları üzerinde tam kontrole sahip bir token imzalarlar.
- ALB yapılandırmasını değiştirme: Kurbanın beklediği ihraççıyla eşleşmesi için ihraççı alanını manipüle ederler.
- Güveni istismar etmek: AWS, saldırganın token’ını kurbanın yayıncısıyla imzalayarak esasen doğruluyor.
- Savunmaları aşmak: Sahte token, kimlik doğrulama ve yetkilendirmeyi atlatarak kurbanın uygulamasına karşı kullanılıyor.
Miggo CEO’su ve Kurucu Ortağı Daniel Shechter, “ALBeast, dağıtılmış uygulama mimarisiyle ilişkili riskleri ve benzer istismarları önlemek için yeni bir tespit yöntemi sınıfına duyulan ihtiyacı vurguluyor” dedi.
Miggo Research, sorunu Nisan ayında AWS güvenlik ekibine bildirdi ve AWS, Mayıs 2024’te kimlik doğrulama özelliği belgelerini güncelleyerek, belirteci imzalayan AWS ALB örneğini doğrulamak için yeni bir kod ekledi. Miggo Research ayrıca etkilenen kuruluşlarla iletişim kurmak ve gerektiğinde destek sağlamak için AWS ile birlikte çalıştı.
ALBeast, ortamdan (AWS, diğer bulut sağlayıcıları veya şirket içi) bağımsız olarak AWS ALB kullanıcı kimlik doğrulamasını kullanan herhangi bir uygulamayı etkileyebilir. Geleneksel güvenlik araçları, modern uygulama mimarilerinin karmaşıklığı nedeniyle bu güvenlik açığını tespit etmekte zorlanabilir.
AWS, güncellenen AWS belgelerine göre bu güvenlik açığını paylaşımlı sorumluluk modeli altında sınıflandırıyor ve müşterilerin uygulamalarını güncellemelerini, yapılandırmaları gözden geçirmelerini ve güvenlik grubu yapılandırmalarının uygulamalarına erişimi kısıtlamasını sağlamalarını gerektiriyor.
ALBeast riskini azaltmak için kuruluşlar, belirteç imzalayıcısını doğrulamalı ve trafiği yalnızca güvenilir ALB örneklerinden gelen trafiği kabul edecek şekilde kısıtlamalı, böylece uygulamaların belirteci imzalamaktan sorumlu ALB örneğini doğrulamasını sağlamalıdır.
İLGİLİ KONULAR
- AWS S3 Enumeration ormanında
- AWS ‘Bucket Monopoly’ Hatası Hesap Devralınmasına Yol Açtı
- “LeakyCLI” Kusuru AWS ve Google Cloud Kimlik Bilgilerini Sızdırıyor
- Tedarik Zinciri Saldırısı Telegram, AWS ve Alibaba Cloud Kullanıcılarını Vurdu
- Phishing 3.0: Dolandırıcılar Aldatıcı E-posta Kampanyalarında AWS’yi Kullanıyor