Исследователи кибербезопасности поделились подробностями об исправленной уязвимости в управляемых рабочих процессах Amazon Web Services (AWS) для Apache Airflow (MWAA), которая потенциально может быть использована злоумышленником для перехвата сеансов жертв и удаленного выполнения кода в базовых экземплярах.
Уязвимость, которую теперь устраняет AWS, получила кодовое название FlowFixation от Tenable.
"Завладев учетной записью жертвы, злоумышленник мог выполнять такие задачи, как чтение строк подключения, добавление конфигураций и запуск ориентированных ациклических графиков (DAG)", - сказал в техническом анализе старший исследователь безопасности Лив Матан.
"При определенных обстоятельствах такие действия могут привести к RCE на экземпляре, который лежит в основе MWAA, и к боковому перемещению на другие сервисы".
Основная причина уязвимости, по мнению компании по кибербезопасности, заключается в сочетании фиксации сеанса на веб-панели управления AWS MWAA и неправильной конфигурации домена AWS, что приводит к межсайтовой скриптовой атаке (XSS).
Фиксация сеанса - это метод веб-атаки, который происходит, когда пользователь проходит аутентификацию в сервисе без аннулирования каких-либо существующих идентификаторов сеанса. Это позволяет злоумышленнику принудительно (иначе фиксировать) известный идентификатор сеанса у пользователя, чтобы после аутентификации пользователя злоумышленник получил доступ к аутентифицированному сеансу.
Злоупотребляя недостатком, субъект угрозы мог заставить жертв использовать и аутентифицировать известный сеанс злоумышленника и в конечном итоге завладеть веб-панелью управления жертвы.
"FlowFixation выявляет более широкую проблему текущего состояния архитектуры домена и управления облачными провайдерами, связанную с общедоступным списком суффиксов (PSL) и доменами с общими родительскими доменами: атаки на одном сайте", - сказал Матан, добавив, что неправильная настройка также влияет на Microsoft Azure и Google Cloud.
Тенейбл также отметил, что общая архитектура, при которой несколько клиентов имеют один и тот же родительский домен, может стать золотой жилой для злоумышленников, стремящихся использовать уязвимости, такие как атаки на одном сайте, проблемы с перекрестным источником и передача файлов cookie, что фактически приводит к несанкционированному доступу, утечке данных и выполнению кода.
Недостаток был устранен как AWS, так и Azure, добавляющими неправильно настроенные домены в PSL, что приводит к тому, что веб-браузеры распознают добавленные домены как общедоступный суффикс. Google Cloud, с другой стороны, описал проблему как "недостаточно серьезную", чтобы требовать исправления.
"В случае атак на одном сайте влияние упомянутой архитектуры домена на безопасность является значительным, при этом повышается риск подобных атак в облачных средах", - объяснил Матан.
"Среди них особую озабоченность вызывают атаки с использованием файлов cookie и обход защиты от файлов cookie с использованием атрибутов одного сайта, поскольку и те, и другие могут обойти защиту CSRF. Атаки с использованием файлов cookie также могут злоупотреблять проблемами с фиксацией сеанса".
Уязвимость, которую теперь устраняет AWS, получила кодовое название FlowFixation от Tenable.
"Завладев учетной записью жертвы, злоумышленник мог выполнять такие задачи, как чтение строк подключения, добавление конфигураций и запуск ориентированных ациклических графиков (DAG)", - сказал в техническом анализе старший исследователь безопасности Лив Матан.
"При определенных обстоятельствах такие действия могут привести к RCE на экземпляре, который лежит в основе MWAA, и к боковому перемещению на другие сервисы".
Основная причина уязвимости, по мнению компании по кибербезопасности, заключается в сочетании фиксации сеанса на веб-панели управления AWS MWAA и неправильной конфигурации домена AWS, что приводит к межсайтовой скриптовой атаке (XSS).
Фиксация сеанса - это метод веб-атаки, который происходит, когда пользователь проходит аутентификацию в сервисе без аннулирования каких-либо существующих идентификаторов сеанса. Это позволяет злоумышленнику принудительно (иначе фиксировать) известный идентификатор сеанса у пользователя, чтобы после аутентификации пользователя злоумышленник получил доступ к аутентифицированному сеансу.
Злоупотребляя недостатком, субъект угрозы мог заставить жертв использовать и аутентифицировать известный сеанс злоумышленника и в конечном итоге завладеть веб-панелью управления жертвы.
"FlowFixation выявляет более широкую проблему текущего состояния архитектуры домена и управления облачными провайдерами, связанную с общедоступным списком суффиксов (PSL) и доменами с общими родительскими доменами: атаки на одном сайте", - сказал Матан, добавив, что неправильная настройка также влияет на Microsoft Azure и Google Cloud.
Тенейбл также отметил, что общая архитектура, при которой несколько клиентов имеют один и тот же родительский домен, может стать золотой жилой для злоумышленников, стремящихся использовать уязвимости, такие как атаки на одном сайте, проблемы с перекрестным источником и передача файлов cookie, что фактически приводит к несанкционированному доступу, утечке данных и выполнению кода.
Недостаток был устранен как AWS, так и Azure, добавляющими неправильно настроенные домены в PSL, что приводит к тому, что веб-браузеры распознают добавленные домены как общедоступный суффикс. Google Cloud, с другой стороны, описал проблему как "недостаточно серьезную", чтобы требовать исправления.
"В случае атак на одном сайте влияние упомянутой архитектуры домена на безопасность является значительным, при этом повышается риск подобных атак в облачных средах", - объяснил Матан.
"Среди них особую озабоченность вызывают атаки с использованием файлов cookie и обход защиты от файлов cookie с использованием атрибутов одного сайта, поскольку и те, и другие могут обойти защиту CSRF. Атаки с использованием файлов cookie также могут злоупотреблять проблемами с фиксацией сеанса".
