Maar liefst 15.000 applicaties die de Application Load Balancer (ALB) van Amazon Web Services (AWS) gebruiken voor authenticatie, zijn potentieel kwetsbaar voor een configuratieprobleem. Hierdoor kunnen ze toegangscontroles omzeilen en applicaties in gevaar brengen.
Dat blijkt uit bevindingen van het Israëlische cybersecuritybedrijf Miggo, dat het probleem omschreef als ALBeest.
“Dankzij deze kwetsbaarheid kunnen aanvallers rechtstreeks toegang krijgen tot de getroffen applicaties, vooral als deze zijn blootgesteld aan internet”, aldus beveiligingsonderzoeker Liad Eliyahu.
ALB is een Amazon-service die is ontworpen om HTTP- en HTTPS-verkeer te routeren naar doelapplicaties op basis van de aard van de verzoeken. Het stelt gebruikers ook in staat om de authenticatiefunctionaliteit van hun apps naar de ALB te verplaatsen.
“Application Load Balancer zorgt voor een veilige authenticatie van gebruikers wanneer zij toegang krijgen tot cloudapplicaties”, aldus Amazon op haar website.
“Application Load Balancer is naadloos geïntegreerd met Amazon Cognito, waardoor eindgebruikers zich kunnen verifiëren via sociale identiteitsproviders zoals Google, Facebook en Amazon, en via zakelijke identiteitsproviders zoals Microsoft Active Directory via SAML of een OpenID Connect-compatibele identiteitsprovider (IdP).”
De kern van de aanval bestaat uit het feit dat een kwaadwillende partij een eigen ALB-instantie aanmaakt en dat de authenticatie in zijn account is geconfigureerd.
In de volgende stap wordt de ALB gebruikt om een token te ondertekenen dat onder hun controle valt en de ALB-configuratie te wijzigen door een authentiek, door de ALB ondertekend token te vervalsen met de identiteit van een slachtoffer. Uiteindelijk wordt dit token gebruikt om toegang te krijgen tot de doelapplicatie, waarbij zowel authenticatie als autorisatie worden omzeild.
Met andere woorden, het idee is dat AWS het token ondertekent alsof het daadwerkelijk afkomstig is van het systeem van het slachtoffer en dat het token wordt gebruikt om toegang te krijgen tot de applicatie, ervan uitgaande dat het openbaar toegankelijk is of dat de aanvaller er al toegang toe heeft.
Na de Responsible Disclosure-procedure in april 2024 heeft Amazon de documentatie over de authenticatiefunctie bijgewerkt en een nieuwe code toegevoegd om de ondertekenaar te valideren.
“Om de veiligheid te waarborgen, moet u de handtekening verifiëren voordat u autorisatie uitvoert op basis van de claims en valideren dat het ondertekenaarveld in de JWT-header de verwachte Application Load Balancer ARN bevat”, stelt Amazon nu expliciet in zijn documentatie.
“Als best practice voor beveiliging raden we u ook aan om uw targets te beperken tot het ontvangen van alleen verkeer van uw Application Load Balancer. U kunt dit bereiken door de beveiligingsgroep van uw targets te configureren om te verwijzen naar de beveiligingsgroep-ID van de load balancer.”
De onthulling volgt op de onthulling van Acronis over hoe een verkeerde configuratie van Microsoft Exchange de deur kan openen voor e-mailspoofingaanvallen, waardoor kwaadwillenden DKIM-, DMARC- en SPF-beveiligingen kunnen omzeilen en schadelijke e-mails kunnen versturen die zich voordoen als vertrouwde entiteiten.
“Als u uw Exchange Online-organisatie niet hebt vergrendeld om alleen e-mail van uw externe service te accepteren, of als u geen uitgebreide filtering voor connectoren hebt ingeschakeld, kan iedereen u een e-mail sturen via ourcompany.protection.outlook.com of ourcompany.mail.protection.outlook.com, en wordt DMARC (SPF en DKIM)-verificatie overgeslagen”, aldus het bedrijf.
