Volgens nieuw onderzoek kon een aanvaller misbruik maken van een kwetsbaarheid in de verkeersrouteringsservice van Amazon Web Service, bekend als Application Load Balancer, om toegangscontroles te omzeilen en webapplicaties in gevaar te brengen. De fout komt voort uit een probleem met de gebruikersimplementatie, wat betekent dat deze niet wordt veroorzaakt door een softwarefout. In plaats daarvan werd de blootstelling geïntroduceerd door de manier waarop AWS-klanten authenticatie instelden met de Application Load Balancer.
Implementatieproblemen zijn een belangrijk onderdeel van cloudbeveiliging, net zoals de inhoud van een gepantserde kluis niet wordt beschermd als de deur op een kier staat. Onderzoekers van beveiligingsbedrijf Miggo ontdekten dat, afhankelijk van hoe Application Load Balancer-authenticatie is ingesteld, een aanvaller mogelijk de overdracht ervan aan een externe bedrijfsauthenticatieservice zou kunnen manipuleren om toegang te krijgen tot een doelwebapplicatie en gegevens te inspecteren of te exfiltreren.
De onderzoekers zeggen dat ze, kijkend naar openbaar beschikbare webapplicaties, meer dan 15.000 hebben geïdentificeerd die kwetsbare configuraties lijken te hebben. AWS betwist deze schatting echter en zegt dat “een klein percentage van de AWS-klanten applicaties heeft die mogelijk op deze manier verkeerd zijn geconfigureerd, wat aanzienlijk minder is dan de onderzoekers schatten.” Het bedrijf zegt ook dat het contact heeft opgenomen met elke klant op zijn shortlist om een veiligere implementatie aan te bevelen. AWS heeft echter geen toegang tot of zicht op de clouds van zijn klanten, dus elk exact aantal is slechts een schatting.
Miggo-onderzoekers zeggen dat ze het probleem tegenkwamen tijdens het werken met een klant. Dit werd “ontdekt in een echte productieomgeving”, zegt Daniel Shechter, CEO van Miggo. “We merkten vreemd gedrag op in het systeem van de gebruiker: het validatieproces leek slechts gedeeltelijk te werken, alsof er iets ontbrak. Dit laat echt zien hoe diep de onderlinge afhankelijkheid tussen inkoper en leverancier gaat.”
Om het implementatieprobleem te misbruiken, zou een aanvaller een AWS-account en een load balancer-applicatie opzetten en vervolgens zoals gewoonlijk zijn eigen authenticatietoken ondertekenen. Vervolgens zou de aanvaller configuratiewijzigingen aanbrengen, zodat het lijkt alsof de authenticatieservice van zijn doelwit het token heeft uitgegeven. Vervolgens zou de aanvaller AWS het token laten ondertekenen alsof het legitiem afkomstig was van het doelsysteem en het gebruiken om toegang te krijgen tot de doelapplicatie. De aanval moet zich specifiek richten op een verkeerd geconfigureerde applicatie die openbaar beschikbaar is of waartoe de aanvaller al toegang heeft, maar die hem in staat zou stellen zijn rechten op het systeem te escaleren.
Amazon Web Services zegt dat het bedrijf tokenvervalsing niet als een kwetsbaarheid in een load balancer-applicatie ziet, omdat het in wezen een verwacht resultaat is van de keuze om authenticatie op een bepaalde manier te configureren. Maar nadat Miggo-onderzoekers begin april hun bevindingen voor het eerst aan AWS hadden bekendgemaakt, bracht het bedrijf twee wijzigingen aan in de documentatie, gericht op het bijwerken van hun aanbevelingen voor het implementeren van Application Load Balancer-authenticatie. Eén, gedateerd 1 mei, bevat richtlijnen voor het toevoegen van validatie voordat de Application Load Balancer tokens ondertekent. En op 19 juli voegde het bedrijf ook een expliciete aanbeveling toe dat gebruikers hun systemen zo zouden instellen dat ze alleen verkeer ontvangen van hun eigen Application Load Balancer met behulp van een functie genaamd ‘beveiligingsgroepen’.