Volgens beveiligingsonderzoekers zijn tot 15.000 AWS-apps kwetsbaar door een foutieve configuratie van Application Load Balancer. AWS geeft advies hoe de tool te gebruiken.
Beveiligingsbedrijf Miggo botste op de kwetsbaarheid in AWS tijdens het onboarden van een klant. De kwetsbaarheid zit in Application Load Balancer, een tool die inkomend netwerkverkeer automatisch verdeelt over webapplicaties en servers om overbelasting te voorkomen. De onderzoekers van Miggo ontdekten na dieper te graven in de tool hoe aanvallers via Load Balancer een authenticatiefout kunnen uitlokken.
De kwetsbaarheid is mogelijk door een foutieve configuratie van de tool aan de zijde van de klant en niet door een bug in de software. Om het systeem uit te buiten, zou een aanvaller een AWS-account en een Application Load Balancer instellen en vervolgens een authenticatietoken laten ondertekenen. Vervolgens maakt de aanvaller configuratiewijzigingen zodat het lijkt alsof de authenticatieservice van het doelwit het token heeft uitgegeven om toegang te krijgen tot de doelapplicatie.
15.000 kwetsbare apps
Omdat de beveiligingsonderzoekers deze configuratie in een actieve klantenomgeving ontdekten, vermoedden ze dat wel eens meer AWS-klanten kwetsbaar zijn zonder dat ze het beseffen. Volgens de onderzoekers zijn er zeker 15.000 AWS-apps kwetsbaar. Dit is een schatting gebaseerd op het analyseren van publiek beschikbare applicaties van klanten.
AWS betwist enigszins dat dat aantal zo hoog ligt. In een reactie aan Wired zegt dat de cloudprovider dat slechts een ‘kleine fractie van een procent van AWS-klanten applicaties hebben die mogelijk op deze manier verkeerd geconfigureerd zijn’. Ook dit is louter een schatting: AWS zegt geen toegang te hebben tot de cloudomgeving van zijn klanten, dus kan het er geen exact cijfer opplakken.
De cloudprovider zegt verder dat dit niet om een authenticatiefout in de tool zelf gaat, omdat de aanvaller al directe toegang tot de applicatie moet verkregen hebben om de kwetsbaarheid uit te buiten. Het probleem is ook niet met een simpele patch op te lossen. AWS maakte wel enkele aanpassingen aan zijn handleiding voor Application Load Balancer sinds het op de hoogte werd gebracht van eventuele foutieve configuraties.
Klanten worden onder meer aangeraden om een extra validatie in te stellen voordat Application Load Balancer authenticatietokens kan goedkeuren. Een laatste aanvulling in de handleiding gebeurde op 19 juli. Toen voegde het de expliciete aanbeveling toe om ‘beveiligingsgroepen’ in te stellen zodat systemen alleen verkeer van hun eigen Application Load Balancer ontvangen.
Gedeelde verantwoordelijkheid
Het voorval is een schoolvoorbeeld van het ‘gedeelde verantwoordelijkheidsmodel’ in de publieke cloud. Cloudproviders bieden de nodige tools aan om de cloudomgeving te beveiligen, maar het de verantwoordelijkheid van de klant om alles correct in te stellen.
lees ook
Waarom je ook back-ups moet maken van data die in de cloud staan
Bedrijven vergeten dit wel eens en gaan ervan uit dat de provider voor de beveiliging instaat. Hierdoor zetten ze de deuren van hun cloudomgeving wagenwijd open zonder het te beseffen.