Le bug ALBeast affecte 15 000 applications utilisant la fonctionnalité d'authentification AWS ALB

Un bug de configuration critique a été observé qui affecte les applications utilisant AWS Application Load Balancer (ALB) pour l'authentification, une faille surnommée « ALBeast » qui pourrait conduire à un accès non autorisé aux ressources de l'entreprise, à des violations de données et à une exfiltration de données.

Un bug de configuration critique a été découvert dans AWS Application Load Balancer (ALB) qui pourrait conduire à un accès non autorisé aux ressources de l'entreprise, à des violations de données et à une exfiltration de données.

La faille, baptisée « ALBeast », a été identifiée par Miggo Research et affecte les applications utilisant l'ALB pour l'authentification. Selon l'équipe de recherche, plus de 15 000 applications potentiellement vulnérables ont été trouvées à l'aide de la fonctionnalité d'authentification AWS ALB.

L'équilibreur de charge AWS distribue le trafic applicatif entrant sur plusieurs cibles, telles que les instances de services Web AWS EC2. La faille ALBeast peut provoquer le contournement de l'authentification et de l'autorisation dans les applications exposées à Internet qui reposent sur l'authentification ALB.

"AWS ALB dispose d'une fonctionnalité d'authentification qui a été publiée en 2018 et comprend quelques fonctionnalités et une documentation destinée aux clients sur la façon de la mettre en œuvre en toute sécurité", a expliqué Liad Eliyahu, responsable de la recherche chez Miggo. "Cependant, nous avons découvert qu'il manque deux parties cruciales dans la documentation, ce qui rend les applications vulnérables."

Selon Eliyahu, le premier élément manquant est une validation de savoir quelle ALB a réellement signé le jeton. L'équipe Miggo a scanné de nombreuses implémentations de projets open source ainsi que des guides d'authentification ALB rédigés par la communauté, et seul un sur des dizaines a mentionné cette validation. "L'équipe a alors supposé que presque tous les programmeurs n'incluaient pas cette validation dans leur code."

Deuxièmement, Miggo a trouvé une mauvaise configuration dans les groupes de sécurité qu'AWS prétend identifier et informer les clients. Selon Eliyahu, de nombreuses sources indiquent qu'il s'agit de l'une des erreurs de configuration AWS les plus courantes.

"Nous avons suggéré qu'AWS effectue un changement dans la mise en œuvre d'ALB qui puisse atténuer la plupart des problèmes d'ALBeast de leur côté", a déclaré Eliyahu. "Ils ont choisi de ne pas modifier leur mise en œuvre, mais de contacter les clients et de les informer de ces deux actions qu'ils devraient entreprendre."

Un article de blog d'AWS publié il y a six jours inclut ces bonnes pratiques de sécurité :

« Le problème de configuration avec AWS ALB ne vient pas d'une faille dans l'ALB lui-même mais de la façon dont il est configuré par les utilisateurs », a ajouté Jason Soroko, vice-président senior des produits chez Sectigo. Selon Soroko, le problème implique des configurations d'authentification inappropriées, dans lesquelles les applications ne parviennent pas à valider le signataire du jeton ou acceptent par erreur le trafic provenant de sources autres que leur ALB, permettant ainsi un accès non autorisé aux ressources et l'exfiltration de données.

« Les équipes de sécurité doivent s'assurer que leurs applications vérifient correctement les jetons et limitent le trafic aux seules sources fiables, en particulier leur ALB », a déclaré Soroko. « AWS améliore continuellement la documentation à ce sujet pour aider les personnes responsables de la configuration à comprendre les risques, mais ce serait Il est prudent d'examiner également les outils de diagnostic disponibles sur Amazon AWS ainsi que les outils tiers pour aider à détecter ce type d'erreurs de configuration. "

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!