ALBeast のバグが AWS ALB 認証機能を使用する 15,000 のアプリに影響

認証に AWS Application Load Balancer (ALB) を使用するアプリケーションに影響を与える重大な設定バグが観察されました。これは「ALBeast」と呼ばれる欠陥で、ビジネス リソースへの不正アクセス、データ侵害、データ漏洩につながる可能性があります。

AWS Application Load Balancer (ALB) で重大な設定バグが発見され、ビジネス リソースへの不正アクセス、データ侵害、データ漏洩につながる可能性があります。

「ALBeast」と呼ばれるこの欠陥は Miggo Research によって特定され、認証に ALB を使用するアプリケーションに影響を与えます。研究チームによると、AWS ALB 認証機能を使用している潜在的に脆弱なアプリが 15,000 個以上発見されています。

AWS ロード バランサーは、受信アプリケーション トラフィックを AWS EC2 Web サービス インスタンスなどの複数のターゲットに分散します。 ALBeast の欠陥により、ALB 認証に依存するインターネットに公開されたアプリケーションで認証と認可のバイパスが発生する可能性があります。

「AWS ALB には 2018 年にリリースされた認証機能があり、いくつかの機能と、それを安全に実装する方法に関する顧客向けのドキュメントが含まれています」と Miggo のリサーチリーダーである Liad Eliyahu 氏は説明しました。 「しかし、ドキュメントには 2 つの重要な部分が欠けており、アプリケーションが脆弱になることが判明しました。」

Eliyahu 氏によると、最初に欠けている要素は、どの ALB が実際にトークンに署名したかの検証です。 Miggo チームは、オープンソース プロジェクトの多数の実装と、コミュニティによって作成された ALB 認証ガイドをスキャンしましたが、この検証について言及したのは数十のうち 1 つだけでした。 「その後、チームは、ほぼすべてのプログラマーがコードにこの検証を含めていないと仮定しました。」

次に、Miggo は、AWS が顧客を特定して通知すると主張しているセキュリティ グループの設定ミスを発見しました。 Eliyahu 氏によると、多くの情報源は、これが AWS の最も一般的な構成ミスの 1 つであることを示しています。

「私たちは、AWS 側で ALBeast の問題のほとんどを軽減できる ALB 実装の変更を実行することを提案しました」と Eliyahu 氏は述べています。 「彼らは実装を変更するのではなく、顧客に連絡して、取るべき 2 つのアクションについて知らせることを選択しました。」

6 日前にリリースされた AWS のブログ投稿には、次のセキュリティのベストプラクティスが含まれています:

「AWS ALB の構成の問題は、ALB 自体の欠陥からではなく、ユーザーによる ALB の構成方法から発生します」と Sectigo の製品担当シニア バイスプレジデントである Jason Soroko 氏は付け加えました。 Soroko 氏によると、この問題には不適切な認証設定が関係しており、アプリがトークン署名者の検証に失敗するか、ALB 以外のソースからのトラフィックを誤って受け入れるため、リソースへの不正アクセスやデータ漏洩が可能になります。

「セキュリティチームは、アプリがトークンを適切に検証し、トラフィックを信頼できるソース、特に ALB のみに制限していることを確認する必要があります。AWS は、構成担当者がリスクを理解できるように、これに関するドキュメントを継続的に改善していますが、それはこの種の設定ミスを見つけるのに役立つサードパーティ ツールだけでなく、Amazon AWS から利用できる診断ツールも検討することが賢明です。」

以上がALBeast のバグが AWS ALB 認証機能を使用する 15,000 のアプリに影響の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。