22 de agosto de 2024Ravie LakshmananSeguridad en la nube / Seguridad de aplicaciones Hasta 15.000 aplicaciones que utilizan el balanceador de carga de aplicaciones (ALB) de Amazon Web Services (AWS) para la autenticación son potencialmente susceptibles a un problema basado en la configuración que podría exponerlas a eludir los controles de acceso y comprometer las aplicaciones. Eso es según los hallazgos de la empresa israelí de ciberseguridad Miggo, que denominó el problema ALBeast. «Esta vulnerabilidad permite a los atacantes acceder directamente a las aplicaciones afectadas, especialmente si están expuestas a Internet», dijo el investigador de seguridad Liad Eliyahu. ALB es un servicio de Amazon diseñado para enrutar el tráfico HTTP y HTTPS a las aplicaciones de destino según la naturaleza de las solicitudes. También permite a los usuarios «descargar la funcionalidad de autenticación» de sus aplicaciones al ALB. «El balanceador de carga de aplicaciones autenticará de forma segura a los usuarios cuando accedan a las aplicaciones en la nube», señala Amazon en su sitio web. «Application Load Balancer se integra perfectamente con Amazon Cognito, lo que permite a los usuarios finales autenticarse a través de proveedores de identidad social como Google, Facebook y Amazon, y a través de proveedores de identidad empresarial como Microsoft Active Directory a través de SAML o cualquier proveedor de identidad (IdP) compatible con OpenID Connect». El ataque, en esencia, implica que un actor de amenazas cree su propia instancia ALB con la autenticación configurada en su cuenta. En el siguiente paso, el ALB se utiliza para firmar un token bajo su control y modificar la configuración del ALB falsificando un token auténtico firmado por ALB con la identidad de una víctima, utilizándolo finalmente para acceder a la aplicación de destino, evitando tanto la autenticación como la autorización. En otras palabras, la idea es que AWS firme el token como si realmente se hubiera originado en el sistema de la víctima y lo use para acceder a la aplicación, asumiendo que es de acceso público o que el atacante ya tiene acceso a él. Tras la divulgación responsable en abril de 2024, Amazon ha actualizado la documentación de la función de autenticación y ha añadido un nuevo código para validar al firmante. «Para garantizar la seguridad, debe verificar la firma antes de realizar cualquier autorización basada en las reclamaciones y validar que el campo de firmante en el encabezado JWT contenga el ARN esperado del balanceador de carga de aplicaciones», afirma ahora Amazon explícitamente en su documentación. «Además, como práctica recomendada de seguridad, le recomendamos que restrinja sus destinos para que solo reciban tráfico de su balanceador de carga de aplicaciones. Puede lograr esto configurando el grupo de seguridad de sus destinos para que haga referencia al ID del grupo de seguridad del balanceador de carga». La revelación se produce cuando Acronis reveló cómo una configuración incorrecta de Microsoft Exchange podría abrir la puerta a ataques de suplantación de correo electrónico, lo que permite a los actores de amenazas eludir las protecciones DKIM, DMARC y SPF y enviar correos electrónicos maliciosos haciéndose pasar por entidades confiables. «Si no ha bloqueado su organización de Exchange Online para que acepte correos únicamente de su servicio de terceros, o si no habilitó el filtrado mejorado para los conectores, cualquiera podría enviarle un correo electrónico a través de ourcompany.protection.outlook.com o ourcompany.mail.protection.outlook.com, y se omitirá la verificación DMARC (SPF y DKIM)», afirmó la empresa. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.