Pesquisadores de segurança cibernética compartilharam detalhes de uma vulnerabilidade de segurança agora corrigida em fluxos de trabalho gerenciados da Amazon Net Providers (AWS) para Apache Airflow (MWAA) que poderia ser potencialmente explorada por um ator mal-intencionado para sequestrar as sessões das vítimas e obter execução remota de código em instâncias subjacentes.
A vulnerabilidade, agora abordada pela AWS, recebeu o codinome Fixação de Fluxo da Tenable.
“Ao assumir o controle da conta da vítima, o invasor poderia ter executado tarefas como ler cadeias de conexão, adicionar configurações e acionar gráficos acíclicos direcionados (DAGS)”, disse a pesquisadora sênior de segurança Liv Matan em uma análise técnica.
“Sob certas circunstâncias, tais ações podem resultar em RCE na instância subjacente ao MWAA e em movimento lateral para outros serviços.”
A causa raiz da vulnerabilidade, de acordo com a empresa de segurança cibernética, é uma combinação de fixação de sessão no painel de gerenciamento da internet do AWS MWAA e uma configuração incorreta do domínio AWS que resulta em um ataque de script entre websites (XSS).
A fixação de sessão é uma técnica de ataque internet que ocorre quando um usuário é autenticado em um serviço sem invalidar nenhum identificador de sessão existente. Isso permite que o adversário drive (também conhecido como fixe) um identificador de sessão conhecido em um usuário para que, uma vez autenticado o usuário, o invasor tenha acesso à sessão autenticada.
Ao abusar da deficiência, um agente de ameaça poderia ter forçado as vítimas a usar e autenticar a sessão conhecida do invasor e, por fim, assumir o controle do painel de gerenciamento da internet da vítima.
“FlowFixation destaca um problema mais amplo com o estado atual da arquitetura e gerenciamento de domínio dos provedores de nuvem no que se refere à Lista Pública de Sufixos (PSL) e domínios pai compartilhados: ataques no mesmo website”, disse Matan, acrescentando que a configuração incorreta também afeta a Microsoft Azure e Google Cloud.
A Tenable também apontou que a arquitetura compartilhada – onde vários clientes têm o mesmo domínio pai – poderia ser uma mina de ouro para invasores que buscam explorar vulnerabilidades como ataques no mesmo website, problemas de origem cruzada e lançamento de cookies, levando efetivamente ao acesso não autorizado, dados vazamentos e execução de código.
A deficiência foi resolvida pela AWS e pelo Azure adicionando os domínios mal configurados ao PSL, fazendo com que os navegadores da Net reconhecessem os domínios adicionados como um sufixo público. O Google Cloud, por outro lado, descreveu o problema como não “suficientemente grave” para merecer uma correção.
“No caso de ataques no mesmo website, o impacto na segurança da arquitetura de domínio mencionada é significativo, com risco aumentado de tais ataques em ambientes de nuvem”, explicou Matan.
“Entre eles, os ataques de lançamento de cookies e o desvio de proteção de cookies de atributos do mesmo website são particularmente preocupantes, pois ambos podem contornar a proteção CSRF. Os ataques de lançamento de cookies também podem abusar de problemas de fixação de sessão.”
