Heim web3.0 Der ALBeast-Fehler betrifft 15.000 Apps, die die AWS ALB-Authentifizierungsfunktion verwenden

Der ALBeast-Fehler betrifft 15.000 Apps, die die AWS ALB-Authentifizierungsfunktion verwenden

Aug 22, 2024 am 03:00 AM
ALBeast load balancer Amazon Web Services apps

Es wurde ein kritischer Konfigurationsfehler beobachtet, der Anwendungen betrifft, die den AWS Application Load Balancer (ALB) zur Authentifizierung verwenden. Dabei handelt es sich um einen Fehler namens „ALBeast“, der zu unbefugtem Zugriff auf Geschäftsressourcen, Datenschutzverletzungen und Datenexfiltration führen kann.

Der ALBeast-Fehler betrifft 15.000 Apps, die die AWS ALB-Authentifizierungsfunktion verwenden

Im AWS Application Load Balancer (ALB) wurde ein kritischer Konfigurationsfehler entdeckt, der zu unbefugtem Zugriff auf Geschäftsressourcen, Datenschutzverletzungen und Datenexfiltration führen könnte.

Der Fehler mit der Bezeichnung „ALBeast“ wurde von Miggo Research identifiziert und betrifft Anwendungen, die den ALB zur Authentifizierung verwenden. Nach Angaben des Forschungsteams wurden mithilfe der AWS ALB-Authentifizierungsfunktion über 15.000 potenziell anfällige Apps gefunden.

Der AWS Load Balancer verteilt den eingehenden Anwendungsverkehr auf mehrere Ziele, wie z. B. AWS EC2-Webservices-Instanzen. Der ALBeast-Fehler kann zur Umgehung der Authentifizierung und Autorisierung in Anwendungen führen, die dem Internet ausgesetzt sind und auf der ALB-Authentifizierung basieren.

„AWS ALB verfügt über eine Authentifizierungsfunktion, die 2018 veröffentlicht wurde und einige Funktionen und Dokumentation für Kunden zur sicheren Implementierung enthält“, erklärte Liad Eliyahu, Forschungsleiter bei Miggo. „Wir haben jedoch festgestellt, dass in der Dokumentation zwei entscheidende Teile fehlen, was dazu führt, dass Anwendungen anfällig sind.“

Laut Eliyahu ist das erste fehlende Element eine Bestätigung darüber, welcher ALB den Token tatsächlich signiert hat. Das Miggo-Team hat zahlreiche Implementierungen von Open-Source-Projekten sowie von der Community verfasste ALB-Authentifizierungshandbücher gescannt, und nur einer von Dutzenden erwähnte diese Validierung. „Das Team ging dann davon aus, dass fast alle Programmierer diese Validierung nicht in ihren Code aufgenommen haben.“

Zweitens hat Miggo eine Fehlkonfiguration in den Sicherheitsgruppen festgestellt, die AWS angeblich identifizieren und Kunden über diese informieren möchte. Laut Eliyahu weisen zahlreiche Quellen darauf hin, dass dies eine der häufigsten AWS-Fehlkonfigurationen ist.

„Wir haben AWS vorgeschlagen, eine Änderung in der ALB-Implementierung vorzunehmen, die die meisten ALBeast-Probleme auf ihrer Seite abmildern kann“, sagte Eliyahu. „Sie haben sich dafür entschieden, ihre Implementierung nicht zu ändern, sondern sich an die Kunden zu wenden und sie über diese beiden Maßnahmen zu informieren, die sie ergreifen sollten.“

Ein vor sechs Tagen veröffentlichter Blogbeitrag von AWS enthält diese Best Practices für die Sicherheit:

„Das Konfigurationsproblem mit AWS ALB entsteht nicht durch einen Fehler im ALB selbst, sondern durch die Art und Weise, wie es von den Benutzern konfiguriert wird“, fügte Jason Soroko, Senior Vice President of Product bei Sectigo, hinzu. Laut Soroko handelt es sich bei dem Problem um fehlerhafte Authentifizierungseinstellungen, bei denen Apps den Token-Unterzeichner nicht validieren oder fälschlicherweise Datenverkehr von anderen Quellen als ihrem ALB akzeptieren und so unbefugten Zugriff auf Ressourcen und Datenexfiltration ermöglichen.

„Sicherheitsteams sollten sicherstellen, dass ihre Apps die Token ordnungsgemäß überprüfen und den Datenverkehr nur auf vertrauenswürdige Quellen, insbesondere ihren ALB, beschränken“, sagte Soroko. „AWS verbessert die Dokumentation dazu kontinuierlich, um den für die Konfiguration Verantwortlichen zu helfen, die Risiken zu verstehen, aber das wäre so.“ Es ist ratsam, sich auch die von Amazon AWS verfügbaren Diagnosetools sowie Tools von Drittanbietern anzusehen, um diese Art von Konfigurationsfehlern zu erkennen.“

Das obige ist der detaillierte Inhalt vonDer ALBeast-Fehler betrifft 15.000 Apps, die die AWS ALB-Authentifizierungsfunktion verwenden. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

Video Face Swap

Video Face Swap

Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!

Heißer Artikel

<🎜>: Bubble Gum Simulator Infinity - So erhalten und verwenden Sie Royal Keys
4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Nordhold: Fusionssystem, erklärt
4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Mandragora: Flüstern des Hexenbaum
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen

Java-Tutorial
1672
14
PHP-Tutorial
1276
29
C#-Tutorial
1256
24
OM MANTRA -Kryptowährung stürzt 90% ab, das Team wird angeblich 90% des Token -Angebots abgelegt OM MANTRA -Kryptowährung stürzt 90% ab, das Team wird angeblich 90% des Token -Angebots abgelegt Apr 14, 2025 am 11:26 AM

In einem verheerenden Schlag für die Anleger ist die OM -Mantra -Kryptowährung in den letzten 24 Stunden um etwa 90% zusammengebrochen, wobei der Preis auf 0,58 USD gesunken ist.

Trollercat ($ tcat) sticht als dominierende Kraft im Meme -Münzmarkt aus Trollercat ($ tcat) sticht als dominierende Kraft im Meme -Münzmarkt aus Apr 14, 2025 am 10:24 AM

Haben Sie den meteorischen Aufstieg von Meme -Münzen in der Kryptowährungswelt bemerkt? Was als Online -Witz begann, hat sich schnell zu einer lukrativen Investitionsmöglichkeit entwickelt

Metaplanet erweitert seine Bitcoin Treasury Holdings um weitere 319 BTC Metaplanet erweitert seine Bitcoin Treasury Holdings um weitere 319 BTC Apr 15, 2025 am 11:20 AM

In einer heute früheren Ankündigung gab die japanische Firma Metaplanet bekannt, dass es ein weiteres 319 Bitcoin (BTC) erworben hat und seine gesamten Unternehmensbestände über 4.500 BTC überschritten hat.

Bitcoin (BTC) -Alalyst, der den Meltdown 2021 -Marktes genagelt hat, sieht das bullische Umkehrmuster Bitcoin (BTC) -Alalyst, der den Meltdown 2021 -Marktes genagelt hat, sieht das bullische Umkehrmuster Apr 14, 2025 am 11:20 AM

Pseudonymous Analyst Dave The Wave erzählt seinen 149.300 Followern auf der Social-Media

Bitwise kündigt die Auflistung von vier seiner Krypto -ETPs an der London Stock Exchange (LSE) an. Bitwise kündigt die Auflistung von vier seiner Krypto -ETPs an der London Stock Exchange (LSE) an. Apr 18, 2025 am 11:24 AM

Bitwise, ein führender digitaler Vermögensverwalter, hat die Auflistung von vier seiner Crypto Exchange-Produkte (ETPs) an der London Stock Exchange (LSE) angekündigt.

Wenn Binance Coin (BNB) zu einem Breakout von 1.000 US Wenn Binance Coin (BNB) zu einem Breakout von 1.000 US Apr 15, 2025 am 09:50 AM

Als Binance Coin (BNB) gewinnt eine Dynamik zu einem Ausbruch von 1.000 US -Dollar

Blockdag schneidet das Geräusch mit 2380% Vorverkaufs -ROI durch Blockdag schneidet das Geräusch mit 2380% Vorverkaufs -ROI durch Apr 14, 2025 am 11:24 AM

Preisschwankungen und politische Druck sind in Krypto nicht neu, aber ab und zu schneidet ein Projekt das Geräusch mit Zahlen, die zu groß sind, um zu ignorieren.

Zentralbanken auf der ganzen Welt erhöhen ihre Goldkäufe Zentralbanken auf der ganzen Welt erhöhen ihre Goldkäufe Apr 15, 2025 am 11:00 AM

Laut einem Bericht des Koobeissi -Briefes über X, in dem Daten von IMS IFS und des Global Gold Council erwähnt wurden, haben die Nationen im Februar 24 Tonnen Gold angesammelt