Yeni ‘ALBeast’ Güvenlik Açığı AWS Uygulama Yük Dengeleyicisindeki Zayıflığı Ortaya Çıkarıyor


22 Ağu 2024Ravie LakshmananBulut Güvenliği / Uygulama Güvenliği

AWS Güvenlik Açığı

Amazon Web Services’ın (AWS) Uygulama Yük Dengeleyicisini (ALB) kimlik doğrulama için kullanan 15.000’e kadar uygulama, erişim kontrollerini atlatma ve uygulamaları tehlikeye atma riskine yol açabilecek yapılandırma tabanlı bir soruna karşı potansiyel olarak hassastır.

Bu, sorunu şu şekilde tanımlayan İsrail siber güvenlik şirketi Miggo’nun bulgularına göre: AL Canavarı.

Güvenlik araştırmacısı Liad Eliyahu, “Bu güvenlik açığı, saldırganların, özellikle internete bağlı olan uygulamalara doğrudan erişebilmelerine olanak tanıyor.” dedi.

ALB, isteklerin doğasına göre HTTP ve HTTPS trafiğini hedef uygulamalara yönlendirmek için tasarlanmış bir Amazon hizmetidir. Ayrıca kullanıcıların uygulamalarından ALB’ye “kimlik doğrulama işlevini boşaltmalarına” olanak tanır.

Siber Güvenlik

Amazon, web sitesinde “Uygulama Yük Dengeleyici, kullanıcıların bulut uygulamalarına erişirken güvenli bir şekilde kimlik doğrulaması yapacak” ifadesini kullanıyor.

“Application Load Balancer, son kullanıcıların Google, Facebook ve Amazon gibi sosyal kimlik sağlayıcıları ve Microsoft Active Directory gibi kurumsal kimlik sağlayıcıları aracılığıyla SAML veya herhangi bir OpenID Connect uyumlu kimlik sağlayıcısı (IdP) aracılığıyla kimlik doğrulaması yapmasına olanak tanıyan Amazon Cognito ile sorunsuz bir şekilde entegre edilmiştir.”

Saldırının özünde tehdit aktörünün kendi hesabında yapılandırılmış kimlik doğrulamasıyla kendi ALB örneğini oluşturması yer alıyor.

Bir sonraki adımda, ALB, kendi kontrolleri altındaki bir belirteci imzalamak ve kurbanın kimliğiyle gerçek bir ALB imzalı belirteç oluşturarak ALB yapılandırmasını değiştirmek için kullanılır ve nihayetinde kimlik doğrulama ve yetkilendirmeyi atlatarak hedef uygulamaya erişmek için kullanılır.

Başka bir deyişle, fikir AWS’nin token’ı sanki gerçekten kurban sistemden geliyormuş gibi imzalaması ve uygulamaya erişmek için bunu kullanmasıdır; bunun ya herkese açık olduğunu ya da saldırganın zaten erişimi olduğunu varsaymaktır.

Amazon, Nisan 2024’te yaptığı sorumlu açıklamanın ardından kimlik doğrulama özelliği belgelerini güncelledi ve imzalayanı doğrulamak için yeni bir kod ekledi.

Amazon artık belgelerinde açıkça “Güvenliği sağlamak için, iddialara dayalı herhangi bir yetkilendirme yapmadan önce imzayı doğrulamalı ve JWT başlığındaki imzalayan alanının beklenen Uygulama Yük Dengeleyici ARN’sini içerdiğini doğrulamalısınız” ifadesini kullanıyor.

Siber Güvenlik

“Ayrıca, bir güvenlik en iyi uygulaması olarak hedeflerinizi yalnızca Uygulama Yük Dengeleyicinizden gelen trafiği alacak şekilde sınırlamanızı öneririz. Bunu, hedeflerinizin güvenlik grubunu yük dengeleyicinin güvenlik grubu kimliğine başvuracak şekilde yapılandırarak başarabilirsiniz.”

Açıklama, Acronis’in Microsoft Exchange yanlış yapılandırmasının e-posta sahteciliği saldırılarına kapı açabileceğini, tehdit aktörlerinin DKIM, DMARC ve SPF korumalarını atlatarak güvenilir varlıklar gibi görünen kötü amaçlı e-postalar göndermesine olanak sağlayabileceğini açıklamasının ardından geldi.

Şirket, “Exchange Online organizasyonunuzu yalnızca üçüncü taraf hizmetinizden gelen postaları kabul edecek şekilde kilitlemediyseniz veya bağlayıcılar için gelişmiş filtrelemeyi etkinleştirmediyseniz, herkes size ourcompany.protection.outlook.com veya ourcompany.mail.protection.outlook.com üzerinden e-posta gönderebilir ve DMARC (SPF ve DKIM) doğrulaması atlanacaktır” dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link