Cybersecurity-onderzoekers hebben details gedeeld van een inmiddels gepatcht beveiligingsprobleem in Amazon Web Services (AWS) Managed Workflows voor Apache Airflow (MWAA) dat mogelijk door een kwaadwillende actor kan worden uitgebuit om sessies van slachtoffers te kapen en externe code-uitvoering op onderliggende instanties te bewerkstelligen.
De kwetsbaarheid, die nu door AWS wordt aangepakt, heeft een codenaam gekregen FlowFixatie door Tenabel.
“Bij het overnemen van het account van het slachtoffer had de aanvaller taken kunnen uitvoeren zoals het lezen van verbindingsreeksen, het toevoegen van configuraties en het activeren van gerichte acyclische grafieken (DAGS)”, zei senior beveiligingsonderzoeker Liv Matan in een technische analyse.
“Onder bepaalde omstandigheden kunnen dergelijke acties resulteren in RCE op de instantie die ten grondslag ligt aan de MWAA, en in zijwaartse beweging naar andere diensten.”
De hoofdoorzaak van de kwetsbaarheid is volgens het cyberbeveiligingsbedrijf een combinatie van sessiefixatie op het webbeheerpaneel van AWS MWAA en een verkeerde configuratie van het AWS-domein die resulteert in een cross-site scripting (XSS)-aanval.
Sessiefixatie is een webaanvaltechniek die plaatsvindt wanneer een gebruiker wordt geverifieerd bij een dienst zonder bestaande sessie-ID's ongeldig te maken. Hierdoor kan de tegenstander een bekende sessie-ID op een gebruiker forceren (ook wel fixeren genoemd), zodat de aanvaller, zodra de gebruiker zich authenticeert, toegang heeft tot de geverifieerde sessie.
Door misbruik te maken van deze tekortkoming had een bedreigingsacteur slachtoffers kunnen dwingen de bekende sessie van de aanvaller te gebruiken en te authenticeren en uiteindelijk het webbeheerpaneel van het slachtoffer over te nemen.
“FlowFixation benadrukt een breder probleem met de huidige staat van de domeinarchitectuur en het beheer van cloudproviders, aangezien het betrekking heeft op de Public Suffix List (PSL) en gedeelde bovenliggende domeinen: aanvallen op dezelfde site”, aldus Matan, eraan toevoegend dat de verkeerde configuratie ook gevolgen heeft voor Microsoft Azure en GoogleCloud.
Tenable wees er ook op dat de gedeelde architectuur – waarbij verschillende klanten hetzelfde bovenliggende domein hebben – een goudmijn zou kunnen zijn voor aanvallers die misbruik willen maken van kwetsbaarheden zoals aanvallen op dezelfde site, cross-origin-problemen en het gooien van cookies, wat effectief kan leiden tot ongeoorloofde toegang, gegevens lekken en uitvoering van code.
De tekortkoming is verholpen doordat zowel AWS als Azure de verkeerd geconfigureerde domeinen aan PSL hebben toegevoegd, waardoor webbrowsers de toegevoegde domeinen als een openbaar achtervoegsel herkennen. Google Cloud daarentegen heeft het probleem omschreven als niet ‘ernstig genoeg’ om een oplossing te verdienen.
“In het geval van aanvallen op dezelfde site is de impact op de veiligheid van de genoemde domeinarchitectuur aanzienlijk, met een verhoogd risico op dergelijke aanvallen in cloudomgevingen”, legt Matan uit.
“Hiervan zijn aanvallen met cookies en het omzeilen van cookie-bescherming op dezelfde site bijzonder zorgwekkend, omdat beide de CSRF-bescherming kunnen omzeilen. Aanvallen met cookies kunnen ook misbruik maken van problemen met sessiefixatie.”
