Các nhà nghiên cứu bảo mật đã chia sẻ chi tiết về một lỗ hổng bảo mật đã được vá trong Amazon Web Services (AWS) Managed Workflows cho Apache Airflow (MWAA), có thể bị kẻ tấn công khai thác để chiếm đoạt phiên của người dùng và thực thi mã từ xa trên các phiên bản cơ bản.
Lỗ hổng này, hiện đã được AWS giải quyết, được đặt tên mã là FlowFixation bởi Tenable.
Nhà nghiên cứu bảo mật cấp cao Liv Matan nói trong một phân tích kỹ thuật: “Khi chiếm đoạt được tài khoản, kẻ tấn công có thể thực hiện các nhiệm vụ như đọc chuỗi kết nối, thêm cấu hình và kích hoạt DAGS.”
“Một số tình huống, các hành động như vậy có thể dẫn đến RCE trên phiên bản cơ bản của MWAA và di chuyển sang các dịch vụ khác.”
Nguyên nhân của lỗ hổng là sự kết hợp của tính năng cố định phiên trên bảng quản lý web của AWS MWAA và cấu hình sai tên miền AWS dẫn đến cuộc tấn công cross-site scripting (XSS).
Session fixation là một kỹ thuật tấn công web xảy ra khi người dùng được xác thực đến một dịch vụ mà không vô hiệu hóa bất kỳ định danh phiên hiện có nào. Điều này cho phép kẻ thù buộc (còn được gọi là cố định) một định danh phiên đã biết trước đó trên một người dùng để sau khi người dùng xác thực, kẻ tấn công có quyền truy cập vào phiên đã xác thực.
Session Hijacking Bằng cách lợi dụng điểm yếu này, một kẻ tấn công có thể buộc nạn nhân sử dụng và xác thực phiên đã biết của kẻ tấn công và cuối cùng chiếm đoạt bảng quản lý web của nạn nhân.
Matan chia sẻ rằng: “FlowFixation làm nổi bật một vấn đề rộng hơn về trạng thái hiện tại của kiến trúc và quản lý miền của các nhà cung cấp dịch vụ đám mây liên quan đến Public Suffix List (PSL) và các miền gốc dùng chung: tấn công cùng trang, không những thế mà cấu hình sai cũng ảnh hưởng đến Microsoft Azure và Google Cloud.”
Tenable cũng đã chỉ ra rằng kiến trúc chung có thể là một kho vàng cho kẻ tấn công muốn khai thác các lỗ hổng như tấn công cùng trang, các vấn đề về cross-origin và cookie tossing, dẫn đến việc truy cập trái phép, rò rỉ dữ liệu và thực thi mã hiệu quả.
Những khuyết điểm đã được giải quyết bởi AWS và Azure bằng cách thêm các miền bị cấu hình sai vào PSL, từ đó khiến trình duyệt web nhận ra các miền đã thêm là một hậu tố công khai. Google Cloud đã mô tả vấn đề này không đủ “nghiêm trọng” để khắc phục.
Matan giải thích: “Trong trường hợp của các cuộc tấn công cùng trang, tác động về an ninh của kiến trúc miền được đề cập là quan trọng, với nguy cơ gia tăng của các cuộc tấn công như vậy trong môi trường đám mây.”
“Trong số này, các cuộc tấn công cookie-tossing và bỏ qua bảo vệ cookie thuộc tính cùng trang đặc biệt đáng lo ngại vì cả hai đều có thể vượt qua bảo vệ CSRF. Các cuộc tấn công cookie-tossing cũng có thể lợi dụng các vấn đề cố định phiên.”
