网络安全公司 Tenable 周四披露了一个一键式漏洞的详细信息,该漏洞可能被利用来完全控制 AWS 服务上的用户帐户,但 AWS 表示,利用该漏洞并非小事。
该漏洞被 Tenable 命名为FlowFixation,几个月前已被 AWS 修补,无法再被利用,但该安全公司指出,其研究发现了一个更广泛的问题,未来可能会再次出现。
FlowFixation 漏洞与 Apache Airflow 开源工作流管理平台有关。该缺陷影响了 AWS 的托管工作流 Apache Airflow (MWAA) 服务,该服务使用户能够在托管 Apache Airflow 中构建、安排和监控工作流程,而无需担心底层基础设施。
Tenable 指出,Apache Airflow 是一款非常受欢迎的工具,每月下载量为 1200 万次。该公司 20% 的客户使用 Airflow 托管服务。
FlowFixation 漏洞的存在是由于 MWAA Web 管理面板中的会话固定问题以及导致跨站点脚本 (XSS) 的 AWS 域配置错误造成的。
“通过滥用该漏洞,攻击者可能会强迫受害者使用和验证攻击者的已知会话。这种操纵可能使攻击者能够稍后使用相同的、现已经过身份验证的会话来接管受害者的 Web 管理面板。”Tenable 解释道。
恶意行为者可能利用 FlowFixation 缺陷接管目标用户的 MWAA Web 管理面板,并利用它执行读取连接字符串、添加配置和触发有向非循环图等任务,这可能导致在目标用户上远程执行代码。底层实例或横向移动到其他服务。
Tenable 的研究揭示了与共享父域和公共后缀列表 ( PSL ) 相关的同站攻击的更广泛问题,该列表是包含相应注册管理机构域注册政策的 TLD 列表。
同一供应商提供的许多云服务共享一个父域。例如,多个 AWS 服务使用“amazonaws.com”。
“这种共享会导致非相关客户将其资产托管在“amazonaws.com”共享父域的子域上。问题在于,某些资产也可能允许客户端代码作为服务执行,”Tenable 解释道。
“如果我们将其与本地环境进行比较,这种情况就像您不拥有的网站的子域上的 XSS。在本地设置中,您通常不会允许用户在您的子域上运行 XSS,但在云中,允许这种情况是很自然的,”该安全公司补充道。“例如,在创建 AWS S3 存储桶时,您可以通过在存储桶中存储 HTML 页面来运行客户端代码。该代码将在您被授予的 S3 存储桶子域的上下文中以及共享父域“amazonaws.com”的上下文中运行。”
分析表明,不仅 AWS 上的共享父服务域配置错误,Azure 和 Google Cloud 上的共享父服务域也配置错误。PSL 中缺少这些域,这使他们的客户面临遭受攻击的风险。这些风险包括 cookie 丢弃(这可能导致会话固定滥用和 CSRF 保护绕过)和同站点 cookie 保护绕过。
针对 Tenable 的报告,AWS 和微软采取了措施来降低风险,但谷歌表示,在确定该问题还没有严重到足以被作为安全问题追踪后,它不会实施修复。
AWS 发言人 Patrick Neighorn 告诉SecurityWeek:“AWS 于 2023 年 9 月针对这些问题部署了修复程序,因此运行当前版本的 Amazon Managed Workflows for Apache Airflow (MWAA) 的客户不会受到影响。” “我们去年通知了受影响的客户,并鼓励他们通过 AWS 控制台、API 或 AWS 命令行界面更新其环境。在我们解决这个问题之前,利用这些发现是一个复杂的过程,需要社会工程。”
Tenable 指出,将有问题的域添加到 PSL 可以防止利用 FlowFixation 等漏洞以及在这些服务中发现的其他类型的缺陷。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论