ثغرة “ALBeast” الجديدة تكشف عن ضعف في خدمة AWS Application Load Balancer
تُعد حوالي 15,000 تطبيق تستخدم خدمة Amazon Web Services’ (AWS) Application Load Balancer (ALB) للمصادقة معرضة لمشكلة في التكوين قد تسمح بتجاوز التحكم في الوصول وتعريض التطبيقات للخطر.
وفقًا لما كشفته شركة الأمن السيبراني الإسرائيلية Miggo، والتي أطلقت على هذه المشكلة اسم “ALBeast”، فإن هذه الثغرة “تسمح للمهاجمين بالوصول المباشر إلى التطبيقات المتأثرة، خاصةً إذا كانت مكشوفة على الإنترنت”، كما قال الباحث الأمني لياد إلياهو.
ALB هي خدمة من أمازون مصممة لتوجيه حركة مرور HTTP و HTTPS إلى التطبيقات المستهدفة بناءً على طبيعة الطلبات. كما تسمح للمستخدمين “بتفريغ وظيفة المصادقة” من تطبيقاتهم إلى ALB.
الأمن السيبراني
“سوف يقوم Application Load Balancer بمصادقة المستخدمين بشكل آمن أثناء وصولهم إلى التطبيقات السحابية”، حسبما أشارت أمازون على موقعها الإلكتروني.
وأضافت أمازون: “يتكامل Application Load Balancer بشكل سلس مع Amazon Cognito، مما يتيح للمستخدمين النهائيين المصادقة عبر موفري الهوية الاجتماعية مثل Google و Facebook و Amazon، ومن خلال موفري الهوية للمؤسسات مثل Microsoft Active Directory عبر SAML أو أي موفر هوية متوافق مع OpenID Connect.”
الهجوم في جوهره يتضمن قيام المهاجم بإنشاء نسخة من ALB مع تهيئة المصادقة في حسابه الخاص. في الخطوة التالية، يتم استخدام ALB لتوقيع رمز تحكم تحت سيطرة المهاجم وتعديل تهيئة ALB من خلال تزوير رمز موقّع من ALB يحمل هوية الضحية، واستخدامه للوصول إلى التطبيق المستهدف، متجاوزًا كل من المصادقة والتفويض.
بمعنى آخر، الفكرة هي أن يقوم AWS بتوقيع الرمز كما لو كان قد نشأ فعليًا من نظام الضحية واستخدامه للوصول إلى التطبيق، بافتراض أنه يمكن الوصول إليه بشكل عام أو أن المهاجم لديه وصول مسبق إليه.
بعد الإفصاح المسؤول في أبريل 2024، قامت أمازون بتحديث وثائق ميزة المصادقة وأضافت كودًا جديدًا للتحقق من صحة الموقع.
وقالت أمازون في وثائقها المحدثة: “لضمان الأمان، يجب عليك التحقق من التوقيع قبل إجراء أي تفويض بناءً على الادعاءات والتأكد من أن حقل الموقع في رأس JWT يحتوي على ARN الخاص بـ Application Load Balancer المتوقع”.
وأضافت أمازون: “أيضًا، كأفضل ممارسات أمان، نوصي بتقييد الأهداف لاستقبال حركة المرور فقط من Application Load Balancer الخاص بك. يمكنك تحقيق ذلك من خلال تكوين مجموعة الأمان الخاصة بالأهداف للإشارة إلى معرف مجموعة الأمان الخاصة بـ Application Load Balancer.”
يأتي هذا الإفصاح في وقت كشفت فيه شركة Acronis عن كيفية أن تكوين خاطئ في Microsoft Exchange يمكن أن يفتح الباب لهجمات تزوير البريد الإلكتروني، مما يسمح للمهاجمين بتجاوز حماية DKIM و DMARC و SPF وإرسال رسائل بريد إلكتروني خبيثة تتنكر ككيانات موثوقة.
وقالت الشركة: “إذا لم تقم بتأمين مؤسسة Exchange Online الخاصة بك لقبول البريد فقط من خدمتك الخارجية، أو إذا لم تقم بتمكين التصفية المحسنة للموصلات، يمكن لأي شخص إرسال بريد إلكتروني إليك عبر ourcompany.protection.outlook.com أو ourcompany.mail.protection.outlook.com، وسيتم تخطي التحقق من DMARC (SPF و DKIM)”.
