Un problème de configuration AWS pourrait exposer des milliers d’applications web
Une vulnérabilité liée au service de routage du trafic d’Amazon Web Service connu sous le nom d’Application Load Balancer aurait pu être exploitée par un attaquant pour contourner les contrôles d’accès et compromettre les applications web, selon une nouvelle recherche. La faille provient d’un problème d’implémentation du client, ce qui signifie qu’elle n’est pas causée par un bug logiciel. Au lieu de cela, l’exposition a été introduite par la manière dont les utilisateurs d’AWS ont configuré l’authentification avec l’Application Load Balancer.
Les problèmes d’implémentation sont un composant crucial de la sécurité cloud de la même manière que le contenu d’un coffre-fort blindé n’est pas protégé si la porte est restée entrouverte. Les chercheurs de la société de sécurité Miggo ont trouvé que, en fonction de la manière dont l’authentification de l’Application Load Balancer était configurée, un attaquant pourrait potentiellement manipuler son transfert à un service d’authentification d’entreprise tiers pour accéder à l’application web cible et consulter ou exfiltrer des données.
Les chercheurs affirment qu’en regardant les applications web publiquement accessibles, ils ont identifié plus de 15 000 configurations vulnérables. AWS conteste cette estimation, cependant, et affirme que « seule une petite fraction de pour cent des clients AWS ont potentiellement mal configuré des applications de cette manière, significativement moins que l’estimation des chercheurs ». La société indique également qu’elle a contacté chaque client de sa liste plus courte pour recommander une implémentation plus sécurisée. Cependant, AWS n’a pas accès ou visibilité sur les environnements cloud de ses clients, donc tout nombre exact n’est qu’une estimation.
Les chercheurs de Miggo affirment avoir découvert le problème en travaillant avec un client. Ce « a été découvert dans des environnements de production réelle », explique le PDG de Miggo, Daniel Shechter. « Nous avons observé un comportement étrange dans le système d’un client – le processus de validation semblait être effectué de manière partielle, comme s’il manquait quelque chose. Cela montre vraiment à quel point les interdépendances sont profondes entre le client et le fournisseur. »
Pour exploiter le problème d’implémentation, un attaquant devrait configurer un compte AWS et un Application Load Balancer, puis signer son propre jeton d’authentification comme d’habitude. Ensuite, l’attaquant apporterait des modifications de configuration pour que le service d’authentification de sa cible semble avoir émis le jeton. Ensuite, l’attaquant devrait faire signer le jeton par AWS comme s’il provenait légitimement du système de la cible et l’utiliser pour accéder à l’application cible. L’attaque doit spécifiquement cibler une application mal configurée qui est publiquement accessible ou à laquelle l’attaquant a déjà accès, mais elle lui permettrait d’escalader ses privilèges dans le système.
Amazon Web Services affirme que l’entreprise ne considère pas que la falsification de jetons représente une vulnérabilité de l’Application Load Balancer car c’est essentiellement un résultat attendu du choix de configurer l’authentification d’une certaine manière. Mais après que les chercheurs de Miggo aient révélé leurs résultats à AWS au début d’avril, la société a apporté deux modifications de documentation visant à mettre à jour ses recommandations d’implémentation pour l’authentification de l’Application Load Balancer. Une, datant du 1er mai, incluait des directives pour ajouter une validation avant que l’Application Load Balancer ne signe les jetons. Et le 19 juillet, la société a également ajouté une recommandation explicite demandant aux utilisateurs de configurer leurs systèmes pour recevoir du trafic uniquement de leur propre Application Load Balancer en utilisant une fonction appelée « groupes de sécurité ».
En conclusion, il est important pour les utilisateurs d’AWS de configurer correctement l’authentification avec l’Application Load Balancer afin de prévenir les attaques potentielles et de maintenir la sécurité de leurs applications web. Les entreprises doivent rester vigilantes et prendre en compte les recommandations fournies par AWS pour renforcer leur posture de sécurité dans le cloud.
