Các nhà nghiên cứu an ninh mạng đã chia sẻ chi tiết về lỗ hổng bảo mật hiện đã được vá trong Quy trình công việc được quản lý của Amazon Web Services (AWS) cho Apache Airflow (MWAA) có khả năng bị tác nhân độc hại khai thác để chiếm quyền điều khiển phiên của nạn nhân và thực thi mã từ xa trên các phiên bản cơ bản.
Lỗ hổng, hiện đã được AWS giải quyết, đã được Tenable đặt tên mã là FlowFixation.
"Khi chiếm đoạt tài khoản của nạn nhân, kẻ tấn công có thể đã thực hiện các tác vụ như đọc chuỗi kết nối, thêm cấu hình và kích hoạt đồ thị tuần hoàn có hướng (DAGS)", nhà nghiên cứu bảo mật cao cấp Liv Matan cho biết trong một phân tích kỹ thuật.
"Trong một số trường hợp nhất định, những hành động như vậy có thể dẫn đến RCE trên trường hợp làm nền tảng cho MWAA và chuyển sang các dịch vụ khác."
Nguyên nhân sâu xa của lỗ hổng, theo công ty an ninh mạng, là sự kết hợp giữa việc cố định phiên trên bảng quản lý web của AWS MWAA và cấu hình sai miền AWS dẫn đến tấn công tập lệnh chéo trang web (XSS).
Sửa phiên là một kỹ thuật tấn công web xảy ra khi người dùng được xác thực với một dịch vụ mà không làm mất hiệu lực bất kỳ số nhận dạng phiên hiện có nào. Điều này cho phép kẻ thù buộc (hay còn gọi là cố định) một mã định danh phiên đã biết trên người dùng để khi người dùng xác thực, kẻ tấn công có quyền truy cập vào phiên được xác thực.
"FlowFixation nhấn mạnh một vấn đề rộng lớn hơn với tình trạng hiện tại của kiến trúc và quản lý miền của các nhà cung cấp đám mây vì nó liên quan đến Danh sách hậu tố công khai (PSL) và các miền mẹ được chia sẻ: các cuộc tấn công cùng một trang web", Matan nói thêm rằng cấu hình sai cũng ảnh hưởng đến Microsoft Azure và Google Cloud.
Tenable cũng chỉ ra rằng kiến trúc chia sẻ - nơi một số khách hàng có cùng tên miền mẹ - có thể là mỏ vàng cho những kẻ tấn công tìm cách khai thác các lỗ hổng như tấn công cùng một trang web, các vấn đề nguồn gốc chéo và tung cookie, dẫn đến truy cập trái phép, rò rỉ dữ liệu và thực thi mã.
Thiếu sót đã được giải quyết bằng cách cả AWS và Azure thêm các tên miền được định cấu hình sai vào PSL, do đó khiến các trình duyệt web nhận ra các tên miền được thêm vào là hậu tố công khai. Mặt khác, Google Cloud đã mô tả vấn đề này là không "đủ nghiêm trọng" để đáng được khắc phục.
"Trong trường hợp tấn công cùng một trang web, tác động bảo mật của kiến trúc miền được đề cập là đáng kể, với nguy cơ cao bị tấn công như vậy trong môi trường đám mây", Matan giải thích.
"Trong số này, các cuộc tấn công ném cookie và bỏ qua bảo vệ cookie thuộc tính cùng trang web đặc biệt đáng lo ngại vì cả hai đều có thể phá vỡ sự bảo vệ CSRF. Các cuộc tấn công tung cookie cũng có thể lạm dụng các vấn đề cố định phiên."