Problema de configuración de Amazon Web Services podría exponer miles de aplicaciones web
Según nuevas investigaciones, un hacker malicioso pudo haber aprovechado una vulnerabilidad relacionada con el servicio de enrutamiento de tráfico de la plataforma Amazon Web Services (AWS), conocido como “Aplication Load Balancer”. Esto con el objetivo de eludir los controles de acceso y comprometer las aplicaciones web.
Esta falla se ha originado a raíz de un problema de autenticación del cliente, queriendo decir que no ha sido causada por un error de software. Igualmente, la exposición a esta vulnerabilidad se ha introducido por la forma en la que los usuarios de Amazon Web Services configuran la autenticación mediante la Application Load Balancer.
Los problemas de implementación son un componente crucial de la seguridad en la nube, de manera tal que los investigadores de una empresa de seguridad descubrieron que, dependiendo de cómo se configura la autenticación de la Application Load Balancer, un ciberdelincuente podría manipular potencialmente una transferencia a un servicio de autenticación corporativo de terceros para acceder a la aplicación web de destino, para ver o exfiltrar datos.
Ante esto, los especialistas señalan que, al analizar las aplicaciones web que son accesibles públicamente, se han identificado más de 15 mil que parecen tener configuraciones vulnerables. No obstante, AWS ha cuestionado este señalamiento, manifestando que una pequeña fracción del 1% de los clientes de Amazon Web Services tienen aplicaciones que están mal configuradas, de forma potencial.
Esto es significativamente menos de los que estiman los investigadores, mientras que la compañía explica que se ha puesto en contacto con cada cliente de la lista más corta, con el objetivo de recomendar una implementación con mayor seguridad. No obstante, AWS no tiene acceso ni visibilidad de los entornos de la nube de sus clientes, por lo que cualquier valor exacto es solo una estimación.
Los expertos en ciberseguridad manifiestan que se encontraron con este problema mientras trabajaban con un cliente, descubriendo la vulnerabilidad en entornos de producción de la vida real. Esto según las palabras de los investigadores, en donde observaron un comportamiento extraño en un sistema de cliente.
El proceso de validación parecía que solamente se estaba realizado de forma parcial, como si faltara algo importante. Esta situación muestra qué tan profundas son las interdependencias entre los clientes y los proveedores.
Para poder explotar un problema de implementación, un actor malicioso podría configurar una cuenta de AWS y una Application Load Balancer, para firmar luego su propio token de autenticación, como de costumbre. Luego, el actor malicioso podría hacer cambios de configuración, para que pareciera que el servicio de autenticación del objetivo o víctima ha emitido el token.
Después, el atacante puede hacer que AWS firme el token como si se hubiese originado de forma legítima en el sistema del objetivo, utilizándolo para acceder a la aplicación de destino. Este ataque debe apuntar a una aplicación mal configurada, específicamente, que sea de acceso público o a la que el hacker malicioso tenga acceso, pero que pueda permitir aumentar sus privilegios en el sistema.
Ante esta posibilidad, Amazon Web Services ha negado que la falsificación de token haya podido llevarse a cabo de esta manera, señalando que los cambios que explican los expertos son un resultado esperado de configurar la autenticación de una forma particular. La cual, no permita la elusión.
