觀察到一個嚴重的配置錯誤,該錯誤影響使用AWS Application Load Balancer (ALB) 進行身份驗證的應用程序,該缺陷被稱為“ALBeast”,可能導致未經授權訪問業務資源、資料外洩和資料洩露。
在 AWS Application Load Balancer (ALB) 中發現了一個嚴重的設定錯誤,可能會導致未經授權的業務資源存取、資料外洩和資料外洩。
Miggo Research 發現了這個名為「ALBeast」的缺陷,它會影響使用 ALB 進行身份驗證的應用程式。研究團隊表示,使用 AWS ALB 身份驗證功能已發現超過 15,000 個可能存在漏洞的應用程式。
AWS 負載平衡器將傳入的應用程式流量指派到多個目標,例如 AWS EC2 Web 服務執行個體。 ALBeast 缺陷可能會導致依賴 ALB 身份驗證的暴露於網際網路的應用程式中的身份驗證和授權繞過。
Miggo 研究主管Liad Eliyahu 解釋道:「AWS ALB 於2018 年發布了一項身份驗證功能,其中包括一些功能和文檔,供客戶了解如何安全地實施該功能。」「但是,我們發現文檔缺少兩個關鍵部分,導致應用程式容易受到攻擊。根據 Eliyahu 的說法,第一個缺少的元素是驗證哪個 ALB 實際簽署了令牌。 Miggo 團隊掃描了眾多開源專案的實現以及社群編寫的 ALB 身份驗證指南,只有十分之一提到了此驗證。 「團隊隨後假設幾乎所有程式設計師都沒有在他們的程式碼中包含此驗證。」
其次,Miggo 在安全群組中發現了錯誤配置,AWS 聲稱可以識別並通知客戶。根據 Eliyahu 的說法,許多消息來源表明這是最常見的 AWS 錯誤配置之一。
「我們建議 AWS 對 ALB 實施進行更改,這可以緩解他們這邊的大多數 ALBeast 問題,」Eliyahu 說。 「他們選擇不改變其實施方式,而是聯繫客戶並告知他們應該採取的這兩項行動。」
AWS 六天前發布的一篇部落格文章包含以下安全最佳實踐:
「AWS ALB 的配置問題並非源自於 ALB 本身的缺陷,而是源自於使用者的配置方式,」Sectigo 產品資深副總裁 Jason Soroko 補充道。據 Soroko 稱,該問題涉及身份驗證設定不當,即應用程式無法驗證令牌簽署者或錯誤地接受來自 ALB 以外來源的流量,從而導致未經授權的資源存取和資料外洩。
Soroko 表示:「安全團隊應確保他們的應用程式正確驗證令牌,並將流量限制為僅受信任的來源,尤其是他們的ALB。AWS 不斷改進這方面的文檔,以幫助負責配置的人員了解風險,但這將是也應謹慎查看Amazon AWS 提供的診斷工具以及第三方工具,以協助發現此類配置錯誤。以上是ALBeast 錯誤影響使用 AWS ALB 身份驗證功能的 15,000 個應用程式的詳細內容。更多資訊請關注PHP中文網其他相關文章!
