قد تؤدي مشكلة تكوين AWS إلى كشف آلاف تطبيقات الويب

وفقًا لبحث جديد، من الممكن أن يتم استغلال ثغرة أمنية تتعلق بخدمة توجيه حركة المرور الخاصة بـ Amazon Web Service والمعروفة باسم Application Load Balancer من قبل مهاجم لتجاوز عناصر التحكم في الوصول واختراق تطبيقات الويب. ينبع الخلل من مشكلة تنفيذ العميل، مما يعني أنه لا ينتج عن خطأ برمجي. وبدلاً من ذلك، تم تقديم التعرض من خلال الطريقة التي يقوم بها مستخدمو AWS بإعداد المصادقة باستخدام Application Load Balancer.

تعد مشكلات التنفيذ عنصرًا حاسمًا في أمان السحابة بنفس الطريقة التي لا تتم بها حماية محتويات الخزنة المدرعة إذا ترك الباب مفتوحًا جزئيًا. وجد باحثون من شركة الأمن Miggo أنه اعتمادًا على كيفية إعداد مصادقة Application Load Balancer، من المحتمل أن يتلاعب المهاجم بعملية التسليم إلى خدمة مصادقة شركة تابعة لجهة خارجية للوصول إلى تطبيق الويب المستهدف وعرض البيانات أو تصفيتها.

ويقول الباحثون إنه بالنظر إلى تطبيقات الويب التي يمكن الوصول إليها بشكل عام، فقد حددوا أكثر من 15000 تطبيق يبدو أن تكويناتها معرضة للخطر. ومع ذلك، تعارض AWS هذا التقدير، وتقول إن “نسبة صغيرة من عملاء AWS لديهم تطبيقات من المحتمل أن يتم تكوينها بشكل خاطئ بهذه الطريقة، وهو أقل بكثير من تقدير الباحثين”. وتقول الشركة أيضًا إنها اتصلت بكل عميل في قائمتها المختصرة للتوصية بتنفيذ أكثر أمانًا. ومع ذلك، لا تتمتع AWS بإمكانية الوصول أو الرؤية إلى البيئات السحابية لعملائها، لذا فإن أي رقم محدد هو مجرد تقدير.

يقول باحثو Miggo أنهم واجهوا المشكلة أثناء العمل مع أحد العملاء. يقول دانييل شيشتر، الرئيس التنفيذي لشركة Miggo، إن هذا “تم اكتشافه في بيئات الإنتاج الواقعية”. “لقد لاحظنا سلوكًا غريبًا في نظام العملاء – حيث بدت عملية التحقق وكأنها تتم جزئيًا فقط، كما لو كان هناك شيء مفقود. وهذا يوضح حقًا مدى عمق الترابط بين العميل والبائع.

لاستغلال مشكلة التنفيذ، يقوم المهاجم بإعداد حساب AWS وApplication Load Balancer، ثم يقوم بالتوقيع على رمز المصادقة الخاص به كالمعتاد. بعد ذلك، سيقوم المهاجم بإجراء تغييرات على التكوين بحيث يبدو أن خدمة المصادقة الخاصة بالهدف هي التي أصدرت الرمز المميز. ثم يطلب المهاجم من AWS التوقيع على الرمز المميز كما لو أنه نشأ بشكل شرعي من نظام الهدف ويستخدمه للوصول إلى التطبيق المستهدف. يجب أن يستهدف الهجوم على وجه التحديد تطبيقًا تم تكوينه بشكل خاطئ ويمكن الوصول إليه بشكل عام أو يمكن للمهاجم الوصول إليه بالفعل، ولكنه سيسمح له بتصعيد امتيازاته في النظام.

تقول Amazon Web Services أن الشركة لا تعتبر تزوير الرمز المميز بمثابة ثغرة أمنية في Application Load Balancer لأنه في الأساس نتيجة متوقعة لاختيار تكوين المصادقة بطريقة معينة. ولكن بعد أن كشف باحثو Miggo لأول مرة عن النتائج التي توصلوا إليها إلى AWS في بداية أبريل، أجرت الشركة تغييرين في الوثائق بهدف تحديث توصيات التنفيذ الخاصة بمصادقة Application Load Balancer. الأول، اعتبارًا من 1 مايو، يتضمن إرشادات لإضافة التحقق من الصحة قبل أن يقوم Application Load Balancer بالتوقيع على الرموز المميزة. وفي 19 يوليو، أضافت الشركة أيضًا توصية صريحة بأن يقوم المستخدمون بتعيين أنظمتهم لتلقي حركة المرور من موازن تحميل التطبيقات الخاص بهم فقط باستخدام ميزة تسمى “مجموعات الأمان”.