- Eine Sicherheitslücke im Amazon Web Services Application Load Balancer könnte Zugangskontrollen umgehen und Webanwendungen gefährden, da Nutzer die Authentifizierung falsch konfigurierten. . Forscher von Miggo identifizierten über 15.000 potenziell anfällige Konfigurationen, obwohl AWS diese Zahl bestreitet und sagt, dass es “ein kleiner Prozentsatz” seiner Kunden betrifft. . Der Angriff erfordert ein AWS-Konto und einen Application Load Balancer sowie eine spezielle Konfiguration, die den Anschein erweckt, ein legitimes Authentifizierungstoken zu verwenden. . AWS betont, dass die Tokenfälschung kein Fehler im Application Load Balancer ist, und hat seitdem seine Implementierungsempfehlungen zur Authentifikation aktualisiert. . Nutzer müssen die Empfehlungen von AWS beachten und ihre Konfigurationen selbst anpassen, da keine allgemeine Lösung durch ein Software-Patch möglich ist.
Eine Sicherheitslücke im Zusammenhang mit dem Traffic-Routing-Dienst von Amazon Web Services, bekannt als Application Load Balancer, hätte von einem Angreifer ausgenutzt werden können, um Zugangskontrollen zu umgehen und Webanwendungen zu gefährden, so neue Forschungen. Der Fehler rührt von einem Implementierungsproblem auf Kundenseite her und nicht von einem Software-Bug. Stattdessen wurde die Schwachstelle durch die Art und Weise eingeführt, wie AWS-Nutzer die Authentifizierung mit dem Application Load Balancer konfigurierten. Implementierungsprobleme sind ein wesentlicher Bestandteil der Cloud-Sicherheit, genauso wie der Inhalt eines Tresors nicht geschützt ist, wenn die Tür offen steht.
Identifizierung der Schwachstelle
Forscher der Sicherheitsfirma Miggo haben herausgefunden, dass ein Angreifer, je nach Konfiguration der Application Load Balancer-Authentifizierung, die Übergabe an einen Drittanbieter-Konzern-Authentifizierungsdienst manipulieren könnte, um auf die Ziel-Webanwendung zuzugreifen und Daten zu betrachten oder zu exfiltrieren. Durch die Analyse öffentlich zugänglicher Webanwendungen identifizierten sie über 15.000 potenziell anfällige Konfigurationen. AWS widerspricht dieser Schätzung jedoch und erklärt, dass “ein kleiner Prozentsatz der AWS-Kunden potenziell fehlkonfigurierte Anwendungen hat, deutlich weniger als die Schätzung der Forscher”.
Das Unternehmen gibt an, jeden Kunden auf seiner kürzeren Liste kontaktiert zu haben, um eine sicherere Implementierung zu empfehlen. AWS hat jedoch keinen Zugang oder Einblick in die Cloud-Umgebungen seiner Kunden, sodass jede genaue Zahl nur eine Schätzung ist. Die Forscher von Miggo entdeckten das Problem während der Arbeit mit einem Kunden. “Dies wurde in realen Produktionsumgebungen entdeckt”, sagt Daniel Shechter, CEO von Miggo. “Wir beobachteten ein seltsames Verhalten in einem Kundensystem – der Validierungsprozess schien nur teilweise durchgeführt zu werden, als würde etwas fehlen.”
Angriffsmethode
Um das Implementierungsproblem auszunutzen, würde ein Angreifer ein AWS-Konto und einen Application Load Balancer einrichten und dann sein eigenes Authentifizierungstoken wie gewohnt signieren. Anschließend würde der Angreifer Konfigurationsänderungen vornehmen, sodass es den Anschein hat, als hätte der Authentifizierungsdienst des Ziels das Token ausgestellt. Dann würde der Angreifer AWS das Token signieren lassen, als ob es legitim vom System des Ziels stammt, und es verwenden, um auf die Zielanwendung zuzugreifen. Der Angriff muss speziell auf eine fehlkonfigurierte Anwendung abzielen, die öffentlich zugänglich ist oder auf die der Angreifer bereits Zugriff hat, würde ihm aber ermöglichen, seine Privilegien im System zu eskalieren.
Amazon Web Services betont, dass das Unternehmen Tokenfälschung nicht als eine Schwachstelle im Application Load Balancer betrachtet, da dies im Wesentlichen ein erwartetes Ergebnis der Wahl einer bestimmten Authentifizierungskonfiguration ist. Aber nachdem die Forscher ihre Ergebnisse Anfang April zuerst an AWS weitergegeben hatten, aktualisierte das Unternehmen seine Implementierungsempfehlungen für die Authentifizierung des Application Load Balancer. Eine Empfehlung vom 1. Mai beinhaltete Hinweise zum Validierungsverfahren, bevor der Application Load Balancer Tokens signiert. Am 19. Juli fügte das Unternehmen zudem eine explizite Empfehlung hinzu, dass Benutzer ihre Systeme so einstellen sollten, dass sie nur Traffic von ihrem eigenen Application Load Balancer erhalten.
Schritte zur Sicherung
Zusammengenommen adressieren die beiden Änderungen von AWS effektiv den von den Forschern vorgeschlagenen Angriffspfad. Da sie jedoch Änderungen an den Konfigurationen der Kunden erfordern, sind die Lösungen nicht wie ein Software-Patch, den ein Entwickler an alle Benutzer ausspielen kann. Stattdessen müssen AWS-Nutzer mit anfälligen Konfigurationen von den aktualisierten Empfehlungen hören, erkennen, dass diese für ihre Konfigurationen relevant sind, und die Änderungen selbst vornehmen.
In solchen Situationen, die als “gemeinsame Verantwortung” bekannt sind, liegt oft eine Grauzone zwischen dem, was ein Cloud-Plattform-Anbieter für seine Kunden adressieren sollte, und dem, was die Nutzer selbst verwalten müssen. Während dies in vielen Fällen eine zufriedenstellende Lösung bietet, gibt es einige Fälle, in denen es noch keine offensichtliche einzelne Lösung gibt, um sicherzustellen, dass jeder Cloud-Kunde die genau benötigte und beabsichtigte Sicherheitskonfiguration hat.
