Sebuah kerentanan terkait layanan routing lalu lintas Amazon Web Service yang dikenal sebagai Application Load Balancer bisa dieksploitasi oleh seorang penyerang untuk melewati kontrol akses dan mengompromikan aplikasi web, menurut penelitian baru. Kerentanan ini berasal dari masalah implementasi pelanggan, artinya bukan disebabkan oleh bug perangkat lunak. Sebaliknya, paparan ini diperkenalkan oleh cara pengguna AWS menyiapkan otentikasi dengan Application Load Balancer.
Masalah implementasi adalah komponen penting dari keamanan cloud sama halnya dengan isi brankas yang tidak dilindungi jika pintunya terbuka. Peneliti dari perusahaan keamanan Miggo menemukan bahwa, tergantung pada bagaimana otentikasi Application Load Balancer diatur, seorang penyerang dapat memanipulasi penyerahan ke layanan otentikasi perusahaan pihak ketiga untuk mengakses aplikasi web target dan melihat atau mengeluarkan data.
Peneliti mengatakan bahwa setelah melihat aplikasi web yang dapat diakses publik, mereka telah mengidentifikasi lebih dari 15.000 yang tampaknya memiliki konfigurasi yang rentan. AWS membantah perkiraan ini, namun, dan mengatakan bahwa “sebagian kecil persen pelanggan AWS memiliki aplikasi yang mungkin salah dikonfigurasi dengan cara ini, jauh lebih sedikit dari perkiraan peneliti.” Perusahaan juga mengatakan bahwa telah menghubungi setiap pelanggan dalam daftar pendeknya untuk merekomendasikan implementasi yang lebih aman. AWS tidak memiliki akses atau visibilitas ke lingkungan cloud klien mereka, meskipun, jadi setiap jumlah yang tepat hanyalah perkiraan.
Peneliti Miggo mengatakan mereka menemui masalah saat bekerja dengan klien. “Ini ditemukan dalam lingkungan produksi kehidupan nyata,” kata CEO Miggo Daniel Shechter. “Kami melihat perilaku aneh dalam sistem pelanggan – proses validasi tampaknya hanya dilakukan sebagian, seperti ada yang hilang. Hal ini benar-benar menunjukkan seberapa dalam ketergantungan antara pelanggan dan vendor.”
Untuk mengeksploitasi masalah implementasi, seorang penyerang akan menyiapkan akun AWS dan Application Load Balancer, lalu menandatangani token otentikasinya sendiri seperti biasa. Selanjutnya, penyerang akan melakukan perubahan konfigurasi sehingga akan terlihat layanan otentikasi target mereka yang mengeluarkan token. Kemudian penyerang akan membuat AWS menandatangani token seolah-olah berasal secara sah dari sistem target dan menggunakannya untuk mengakses aplikasi target. Serangan harus secara khusus mengincar aplikasi yang salah konfigurasi yang dapat diakses publik atau yang sudah diakses oleh penyerang, namun akan memungkinkan mereka untuk meningkatkan hak istimewa mereka dalam sistem.
Amazon Web Services mengatakan bahwa perusahaan tidak melihat pemalsuan token sebagai kerentanan dalam Application Load Balancer karena pada dasarnya itu adalah hasil yang diharapkan dari memilih untuk mengonfigurasi otentikasi dengan cara tertentu. Tetapi setelah peneliti Miggo pertama kali mengungkapkan temuannya kepada AWS pada awal April, perusahaan melakukan dua perubahan dokumentasi yang ditujukan untuk memperbarui rekomendasi implementasi mereka untuk otentikasi Application Load Balancer. Salah satunya, mulai 1 Mei, termasuk panduan untuk menambahkan validasi sebelum Application Load Balancer akan menandatangani token. Dan pada 19 Juli, perusahaan juga menambahkan rekomendasi eksplisit agar pengguna mengatur sistem mereka untuk menerima lalu lintas hanya dari Application Load Balancer mereka sendiri menggunakan fitur yang disebut “grup keamanan.”