Amazon Web Services’in (AWS) Application Load Balancer olarak bilinen trafik yönlendirme hizmetiyle ilgili bir güvenlik açığı, saldırganlar tarafından erişim kontrollerini atlatmak ve web uygulamalarını tehlikeye atmak için kullanılabilirdi. Yeni araştırmalara göre bu güvenlik açığı, bir yazılım hatasından değil, AWS kullanıcılarının Application Load Balancer ile kimlik doğrulama ayarlarını yapma şekillerinden kaynaklanıyor.
Bulut güvenliğinde yapılandırma sorunları, zırhlı bir kasanın kapısı açık bırakıldığında içerideki değerlerin korunamaması gibi kritik bir bileşen olarak kabul edilir. Güvenlik firması Miggo’dan araştırmacılar, Application Load Balancer’ın kimlik doğrulama ayarlarının nasıl yapıldığına bağlı olarak, bir saldırganın bu hizmeti kullanarak bir üçüncü taraf kurumsal kimlik doğrulama hizmetine erişim sağlayabileceğini ve hedef web uygulamasına erişip verileri görüntüleyebileceğini veya çalabileceğini buldu.
Araştırmacılar, herkese açık olarak erişilebilen web uygulamalarını incelediklerinde, 15.000’den fazla uygulamanın bu güvenlik açığına sahip olduğunu tespit ettiklerini belirtiyorlar. Ancak AWS, bu tahmine itiraz ediyor ve AWS müşterilerinin yalnızca çok küçük bir yüzdesinin bu şekilde yanlış yapılandırılmış uygulamalara sahip olduğunu ve bu sayının araştırmacıların tahmininden çok daha az olduğunu ifade ediyor. Şirket, bu kısa listeye giren müşterilere daha güvenli bir yapılandırma yapmalarını tavsiye ettiğini de ekliyor. Bununla birlikte, AWS’nin müşterilerin bulut ortamlarına erişimi veya görünürlüğü olmadığı için tam sayıyı belirlemek zor.
Sorunun Keşfi ve Etkileri
Miggo araştırmacıları bu sorunu bir müşteriyle çalışırken fark ettiklerini belirtiyorlar. Miggo CEO’su Daniel Shechter, “Bu sorun, gerçek üretim ortamlarında keşfedildi,” diyor. “Bir müşteri sisteminde garip bir davranış gözlemledik — doğrulama süreci sadece kısmen yapılıyormuş gibi görünüyordu, sanki bir şeyler eksikti. Bu durum, müşteri ve satıcı arasındaki bağımlılıkların ne kadar derin olduğunu gerçekten gösteriyor.”
Bu yapılandırma sorunundan yararlanmak için bir saldırganın bir AWS hesabı oluşturması ve bir Application Load Balancer kurması gerekiyor. Ardından, saldırgan kendi kimlik doğrulama jetonunu imzaladıktan sonra, hedefin kimlik doğrulama hizmeti tarafından verilmiş gibi görünmesi için yapılandırma değişiklikleri yapacaktır. Son olarak, saldırgan bu jetonu hedef uygulamaya erişmek için kullanabilir. Bu saldırı, özellikle yanlış yapılandırılmış ve halka açık olan veya saldırganın zaten erişime sahip olduğu bir uygulamayı hedef almak zorundadır, ancak sistemdeki yetkilerini artırmalarına olanak tanıyabilir.
Amazon Web Services, bu tekniği bir güvenlik açığı olarak görmediğini çünkü bu durumun, kimlik doğrulamanın belirli bir şekilde yapılandırılmasının beklenen bir sonucu olduğunu belirtiyor. Ancak Miggo araştırmacılarının bulgularını Nisan ayı başında AWS’ye bildirmesinin ardından şirket, Application Load Balancer kimlik doğrulama için önerilerini güncelleyen iki dokümantasyon değişikliği yaptı. Bu değişikliklerden biri, Application Load Balancer’ın jetonları imzalamadan önce doğrulama eklemeyi öneren bir kılavuz içeriyor. Ayrıca, kullanıcıların yalnızca kendi Application Load Balancer’larından gelen trafiği kabul etmeleri için sistemlerini ayarlamalarını tavsiye eden bir öneri ekledi.
AWS sözcüsü Patrick Neighorn, WIRED’e yaptığı açıklamada, “Bu durumu AWS Application Load Balancer (ALB) veya diğer AWS hizmetlerinde bir kimlik doğrulama ve yetkilendirme atlatması olarak adlandırmak yanlış olur çünkü bu teknik, kötü niyetli bir aktörün zaten doğrudan bağlantısı olan yanlış yapılandırılmış bir müşteri uygulamasına sahip olması durumunda işe yarar,” dedi. “Müşterilere, uygulamalarını yalnızca kendi ALB’lerinden gelen istekleri kabul edecek şekilde yapılandırmalarını ve ALB güvenlik en iyi uygulamalarını takip etmelerini öneriyoruz.”
AWS’nin yaptığı iki değişiklik, Miggo araştırmacılarının önerdiği saldırı yolunu etkili bir şekilde ele alıyor. Ancak bu değişiklikler, bir geliştiricinin tüm kullanıcılara gönderebileceği bir yazılım yaması gibi değil. Bunun yerine, risk altında olan AWS kullanıcılarının bu güncellenmiş kılavuzları duyması, yapılandırmalarına uygun olduğunu fark etmesi ve gerekli değişiklikleri kendilerinin yapması gerekiyor.
Bulut hizmetlerinde paylaşılan sorumluluk modeli altında, bu tür durumlar genellikle bulut platform sağlayıcısının müşterileri için neyi ele alması gerektiği ve kullanıcıların neyi kendilerinin yönetmesi gerektiği arasında gri bir alan olarak kalır. Yıllardır var olan bu belirsizlik, bazı durumlarda, her bulut müşterisinin ihtiyaç duyduğu ve hedeflediği güvenlik yapılandırmasına sahip olmasını sağlamak için tek bir çözümün olmadığını göstermektedir.