多达 15,000 个使用 Amazon Web Services (AWS) 应用程序负载均衡器 (ALB) 进行身份验证的应用程序可能容易受到基于配置的问题的影响,这可能会使它们面临规避访问控制并危及应用程序的风险。
这是根据以色列网络安全公司Miggo的调查结果得出的,该公司将问题称为ALBeast。
“这个漏洞允许攻击者直接访问受影响的应用程序,特别是当他们暴露在互联网上时,”安全研究员Liad Eliyahu说。
ALB 是一项 Amazon 服务,旨在根据请求的性质将 HTTP 和 HTTPS 流量路由到目标应用程序。它还允许用户从他们的应用程序中“卸载身份验证功能”到 ALB 中。
“Application Load Balancer 将在用户访问云应用程序时安全地对他们进行身份验证,”亚马逊在其网站上指出。
“Application Load Balancer 与 Amazon Cognito 无缝集成,允许最终用户通过 Google、Facebook 和 Amazon 等社交身份提供商进行身份验证,并通过 Microsoft Active Directory 等企业身份提供商通过 SAML 或任何符合 OpenID Connect 标准的身份提供商 (IdP) 进行身份验证。”
该攻击的核心涉及威胁参与者创建自己的 ALB 实例,并在其帐户中配置了身份验证。
在下一步中,ALB 用于签署他们控制下的令牌,并通过伪造具有受害者身份的真实 ALB 签名令牌来修改 ALB 配置,最终使用它来访问目标应用程序,绕过身份验证和授权。
换句话说,这个想法是让AWS对令牌进行签名,就好像它实际上来自受害者系统一样,并使用它来访问应用程序,假设它要么是可公开访问的,要么是攻击者已经可以访问它。
继 2024 年 4 月负责任地披露后,亚马逊更新了身份验证功能文档,并添加了新代码来验证签名者。
“为确保安全性,您必须在根据声明进行任何授权之前验证签名,并验证 JWT 标头中的签名者字段是否包含预期的应用程序负载均衡器 ARN,”亚马逊现在在其文档中明确指出。
“此外,作为安全最佳实践,我们建议您将目标限制为仅接收来自 Application Load Balancer 的流量。您可以通过配置目标的安全组来引用负载均衡器的安全组 ID 来实现此目的。
Acronis揭示了Microsoft Exchange的错误配置如何为电子邮件欺骗攻击打开大门,使威胁行为者能够绕过DKIM、DMARC和SPF保护,并发送伪装成受信任实体的恶意电子邮件。
该公司表示:“如果你没有锁定你的Exchange Online组织,只接受来自第三方服务的邮件,或者你没有为连接器启用增强过滤,任何人都可以通过 ourcompany.protection.outlook.com 或 ourcompany.mail.protection.outlook.com 向你发送电子邮件,DMARC(SPF和DKIM)验证将被跳过。