观察到一个严重的配置错误,该错误影响使用 AWS Application Load Balancer (ALB) 进行身份验证的应用程序,该缺陷被称为“ALBeast”,可能导致未经授权的业务资源访问、数据泄露和数据泄露。
在 AWS Application Load Balancer (ALB) 中发现了一个关键配置错误,该错误可能导致未经授权访问业务资源、数据泄露和数据泄露。
Miggo Research 发现了这个名为“ALBeast”的缺陷,它会影响使用 ALB 进行身份验证的应用程序。研究团队表示,使用 AWS ALB 身份验证功能已发现超过 15,000 个可能存在漏洞的应用程序。
AWS 负载均衡器将传入的应用程序流量分配到多个目标,例如 AWS EC2 Web 服务实例。 ALBeast 缺陷可能会导致依赖 ALB 身份验证的暴露于互联网的应用程序中的身份验证和授权绕过。
“AWS ALB 具有一项于 2018 年发布的身份验证功能,其中包括一些功能和文档,供客户了解如何安全地实施该功能,”Miggo 研究主管 Liad Eliyahu 解释道。 “但是,我们发现文档缺少两个关键部分,导致应用程序容易受到攻击。”
根据 Eliyahu 的说法,第一个缺失的元素是验证哪个 ALB 实际签署了令牌。 Miggo 团队扫描了众多开源项目的实现以及社区编写的 ALB 身份验证指南,只有十分之一提到了此验证。 “团队随后假设几乎所有程序员都没有在他们的代码中包含此验证。”
其次,Miggo 在 AWS 声称能够识别并通知客户的安全组中发现了错误配置。根据 Eliyahu 的说法,许多消息来源表明这是最常见的 AWS 错误配置之一。
“我们建议 AWS 对 ALB 实施进行更改,这可以缓解他们这边的大多数 ALBeast 问题,”Eliyahu 说。 “他们选择不改变其实施方式,而是联系客户并告知他们应该采取的这两项行动。”
AWS 六天前发布的一篇博文包含以下安全最佳实践:
“AWS ALB 的配置问题并非源于 ALB 本身的缺陷,而是源于用户的配置方式,”Sectigo 产品高级副总裁 Jason Soroko 补充道。据 Soroko 称,该问题涉及身份验证设置不当,即应用程序无法验证令牌签名者或错误地接受来自 ALB 以外来源的流量,从而导致未经授权的资源访问和数据泄露。
Soroko 表示:“安全团队应确保他们的应用程序正确验证令牌,并将流量限制为仅受信任的来源,尤其是他们的 ALB。AWS 不断改进这方面的文档,以帮助负责配置的人员了解风险,但这将是还应谨慎查看 Amazon AWS 提供的诊断工具以及第三方工具,以帮助发现此类配置错误。”以上是ALBeast 错误影响使用 AWS ALB 身份验证功能的 15,000 个应用程序的详细内容。更多信息请关注PHP中文网其他相关文章!
