แอปพลิเคชันจำนวน 15,000 รายการที่ใช้ Application Load Balancer (ALB) ของ Amazon Web Services (AWS) สำหรับการยืนยันตัวตน อาจมีความเสี่ยงต่อปัญหาที่เกี่ยวข้องกับการตั้งค่า ซึ่งอาจทำให้แอปพลิเคชันเหล่านี้สามารถหลีกเลี่ยงการควบคุมการเข้าถึง และก่อให้เกิดความเสี่ยงต่อแอปพลิเคชันได้
ตามข้อมูลจากบริษัทด้านความปลอดภัยทางไซเบอร์ของอิสราเอลที่ชื่อ Miggo ได้มีการตั้งชื่อภัยคุกคามนี้ว่า ALBeast
Liad Eliyahu นักวิจัยด้านความปลอดภัยระบุว่า "ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงแอปพลิเคชันที่ได้รับผลกระทบได้โดยตรง โดยเฉพาะอย่างยิ่งหากแอปพลิเคชันเหล่านั้นสามารถเข้าใช้งานได้จากอินเทอร์เน็ต"
ALB เป็นบริการของ Amazon ที่ออกแบบมาเพื่อกำหนดเส้นทางการรับส่งข้อมูล HTTP และ HTTPS ไปยังแอปพลิเคชันเป้าหมายตามลักษณะของ requests นอกจากนี้ยังช่วยให้ผู้ใช้สามารถ "โอนย้ายฟังก์ชันการยืนยันตัวตน" จากแอปพลิเคชันของตนไปยัง ALB ได้อีกด้วย
Amazon ระบุในเว็บไซต์ว่า "Application Load Balancer จะทำการยืนยันตัวตนของผู้ใช้อย่างปลอดภัยเมื่อพวกเขามีการเข้าถึงแอปพลิเคชันบนระบบคลาวด์"
"Application Load Balancer จะผสานการทำงานร่วมกับ Amazon Cognito เพื่อช่วยให้ผู้ใช้งานสามารถยืนยันตัวตนผ่านผู้ให้บริการ Social เช่น Google, Facebook และ Amazon รวมถึงผู้ให้บริการระดับองค์กร เช่น Microsoft Active Directory ผ่าน SAML หรือผู้ให้บริการที่สอดคล้องกับ OpenID Connect (IdP) ได้"
การโจมตีดังกล่าวเกี่ยวข้องกับผู้โจมตีที่สร้าง ALB ของตนเอง โดยมีการกำหนดค่าการตรวจสอบตัวตนในบัญชีของตนเอง
ในขั้นตอนถัดไป ผู้โจมตีจะใช้ ALB เพื่อ sign token ภายใต้การควบคุมของพวกเขา และแก้ไขการกำหนดค่า ALB ด้วยการปลอมแปลง token ที่ sign โดย ALB ด้วยข้อมูลประจำตัวของเหยื่อ ซึ่งท้ายที่สุดจะใช้เพื่อเข้าถึงแอปพลิเคชันเป้าหมาย โดยสามารถหลีกเลี่ยงทั้งการยืนยันตัวตน และการอนุญาตได้
กล่าวอีกนัยหนึ่งว่า แนวคิดคือให้ AWS ทำการ sign token เสมือนว่ามาจากระบบของเหยื่อจริง ๆ และใช้มันเพื่อเข้าถึงแอปพลิเคชัน โดยสันนิษฐานว่าจะสามารถเข้าถึงได้จากภายนอก หรือผู้โจมตีมีสิทธิ์เข้าถึงอยู่แล้ว
Amazon ได้มีการเปิดเผยข้อมูลเรื่องดังกล่าวเมื่อเดือนเมษายน 2024 โดยแจ้งว่าได้ทำการอัปเดตเอกสารฟีเจอร์การยืนยันตัวตน และเพิ่มโค้ดใหม่เพื่อตรวจสอบผู้ใช้
Amazon ระบุในเอกสารของตนว่า "เพื่อให้มั่นใจในความปลอดภัย จะต้องมีการตรวจสอบ signature ก่อนที่จะทำการอนุญาตใด ๆ ก็ตาม ตามการอ้างสิทธิ์ และตรวจสอบว่าฟิลด์ผู้ใช้ใน JWT header มี Application Load Balancer ARN อยู่หรือไม่"
"นอกจากนี้ เพื่อเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด แนะนำให้จำกัดเป้าหมายให้รับ traffic เฉพาะจาก Application Load Balancer ของคุณเท่านั้น โดยสามารถทำได้โดยการกำหนดค่า security group ของเป้าหมายของคุณให้เชื่อมโยงกับ security group ID ของ load balancer"
การเปิดเผยดังกล่าวเกิดขึ้นในช่วงเวลาเดียวกันกับที่ Acronis รายงานว่า การกำหนดค่าผิดพลาดของ Microsoft Exchange อาจเปิดโอกาสให้เกิดการโจมตีแบบการปลอมแปลงอีเมล (email spoofing) ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการป้องกัน DKIM, DMARC, และ SPF และส่งอีเมลที่เป็นอันตรายโดยแสร้งทำเป็นหน่วยงานที่น่าเชื่อถือได้
Acronis ระบุอีกว่า "หากไม่ได้มีการกำหนดค่า Exchange Online ให้รับอีเมลเฉพาะจากบริการของ third-party หรือหากไม่ได้เปิดใช้งาน enhanced filtering สำหรับ connectors ใครก็ตามก็จะสามารถส่งอีเมลถึงคุณได้ผ่าน ourcompany.protection.outlook.com หรือ ourcompany.mail.protection.outlook.com และการตรวจสอบของ DMARC (SPF และ DKIM) จะถูกข้ามไปทันที"
ที่มา : thehackernews
You must be logged in to post a comment.