Los investigadores de ciberseguridad han compartido detalles de una vulnerabilidad de seguridad ahora parcheada en los flujos de trabajo administrados de Amazon Web Services (AWS) para Apache Airflow (MWAA) que podría ser potencialmente explotado por un actor malicioso para secuestrar las sesiones de las víctimas y lograr la ejecución remota de código en instancias subyacentes.
La vulnerabilidad, ahora abordada por AWS, recibió el nombre en código Fijación de flujo por Tenable.
«Al hacerse cargo de la cuenta de la víctima, el atacante podría haber realizado tareas como leer cadenas de conexión, agregar configuraciones y activar gráficos acíclicos dirigidos (DAGS)», dijo la investigadora senior de seguridad Liv Matan. dicho en un análisis técnico.
«Bajo ciertas circunstancias, tales acciones pueden resultar en RCE en la instancia que subyace a la MWAA y en un movimiento lateral a otros servicios».
La causa fundamental de la vulnerabilidad, según la empresa de ciberseguridad, es una combinación de fijación de sesión en el panel de administración web de AWS MWAA y una mala configuración del dominio de AWS que resulta en una secuencia de comandos entre sitios (XSS) ataque.
La fijación de sesiones es una técnica de ataque web que ocurre cuando un usuario se autentica en un servicio sin invalidar ningún identificador de sesión existente. Esto permite al adversario fuerza (también conocido como fijar) un identificador de sesión conocido en un usuario para que, una vez que el usuario se autentique, el atacante tenga acceso a la sesión autenticada.
Al abusar de esta deficiencia, un actor de amenazas podría haber obligado a las víctimas a utilizar y autenticar la sesión conocida del atacante y, en última instancia, hacerse cargo del panel de administración web de la víctima.
«FlowFixation destaca un problema más amplio con el estado actual de la arquitectura y gestión de dominios de los proveedores de nube en lo que se refiere a la Lista pública de sufijos (PSL) y dominios de padres compartidos: ataques al mismo sitio», dijo Matan, agregando que la mala configuración también afecta a Microsoft Azure y Google Cloud.
Tenable también señaló que la arquitectura compartida, donde varios clientes tienen el mismo dominio principal, podría ser una mina de oro para los atacantes que buscan explotar vulnerabilidades como ataques al mismo sitio, problemas de origen cruzado y lanzamiento de galletaslo que conduce efectivamente a acceso no autorizado, fugas de datos y ejecución de código.
La deficiencia ha sido solucionada tanto por AWS como por Azure agregando los dominios mal configurados a PSL, lo que hace que los navegadores web reconozcan los dominios agregados como un sufijo público. Google Cloud, por otro lado, describió el problema como no «lo suficientemente grave» como para merecer una solución.
«En el caso de ataques al mismo sitio, el impacto en la seguridad de la arquitectura de dominio mencionada es significativo, con un mayor riesgo de tales ataques en entornos de nube», explicó Matan.
«Entre estos, los ataques de lanzamiento de cookies y la omisión de la protección de cookies de atributos del mismo sitio son particularmente preocupantes ya que ambos pueden eludir la protección CSRF. Los ataques de lanzamiento de cookies también pueden abusar de los problemas de fijación de sesiones».