Free

AWS patcht kritischen Fehler im Airflow-Service

Cybersecurity-Experten haben Details zu einer inzwischen gepatchten Sicherheitslücke in Amazon Web Services (AWS) Managed Workflows for Apache Airflow (MWAA) veröffentlicht. Diese Lücke hätte es einem Angreifer ermöglichen können, die Sitzungen von Opfern zu übernehmen und die Ausführung von Remote-Code auf den zugrunde liegenden Instanzen zu erreichen.

Bedrohungen
Lesezeit 1 Min.

Die kürzlich behobene Schwachstelle bei AWS wurde von Tenable als „FlowFixation“ bezeichnet. Laut dem leitenden Sicherheitsforscher von Tenable konnte ein Angreifer, nachdem er das Konto des Opfers übernommen hatte, verschiedene Aktionen durchführen, wie das Lesen von Verbindungszeichenfolgen, das Hinzufügen von Konfigurationen und das Auslösen von gerichteten azyklischen Graphen (DAGS). Unter bestimmten Bedingungen könnten diese Aktionen zu einer Remote-Code-Ausführung (RCE) auf der zugrunde liegenden MWAA-Instanz führen und zu einer seitlichen Bewegung zu anderen Diensten führen.

Die Ursache der Schwachstelle, so das Cybersecurity-Unternehmen, liegt in einer Kombination aus Sitzungsfixierung im Web-Management-Panel von AWS MWAA und einer Fehlkonfiguration der AWS-Domain, die zu einem Cross-Site-Scripting-Angriff (XSS) führt.

Sitzungsfixierung ist eine Web-Angriffstechnik, bei der ein Benutzer für einen Dienst authentifiziert wird, ohne dass bestehende Sitzungskennungen ungültig gemacht werden. Dadurch kann ein Angreifer einem Benutzer eine bekannte Sitzungskennung aufzwingen („fixieren“), sodass der Angreifer nach der Authentifizierung des Benutzers Zugriff auf die authentifizierte Sitzung hat.

Durch Ausnutzung dieser Schwachstelle hätte ein Angreifer die Opfer zwingen können, die bekannte Sitzung des Angreifers zu verwenden und sich zu authentifizieren, was schließlich dazu führen könnte, dass der Angreifer das Webverwaltungsfeld des Opfers übernimmt.

„FlowFixation wirft ein Schlaglicht auf ein breiteres Problem mit dem aktuellen Stand der Domain-Architektur und -Verwaltung von Cloud-Anbietern in Bezug auf die Public Suffix List (PSL) und Shared Parent Domains: Same-Site-Angriffe“, so der Security-Spezialist und fügte hinzu, dass die Fehlkonfiguration auch Microsoft Azure und Google Cloud betrifft.

Tenable wies auch darauf hin, dass die gemeinsam genutzte Architektur, bei der mehrere Kunden dieselbe übergeordnete Domain haben, eine Goldgrube für Angreifer sein könnte. Sie könnten Schwachstellen wie seitengleiche Angriffe, herkunftsübergreifende Probleme und Cookie-Tossing ausnutzen, was letztendlich zu unbefugtem Zugriff, Datenlecks und Codeausführung führen kann.

Um dieses Problem anzugehen, haben sowohl AWS als auch Azure die falsch konfigurierten Domänen zur Public Suffix List (PSL) hinzugefügt. Dadurch erkennen Webbrowser die hinzugefügten Domänen als öffentliche Endungen. Google Cloud hat das Problem jedoch als nicht schwerwiegend genug eingestuft, um eine Behebung zu rechtfertigen.

„Bei Angriffen auf dieselbe Seite sind die Sicherheitsauswirkungen der genannten Domain-Architektur erheblich, insbesondere in Cloud-Umgebungen“, so der Forscher. „Besonders besorgniserregend sind Cookie-Tossing-Angriffe und die Umgehung des Cookie-Schutzes für seitengleiche Attribute, da beide den CSRF-Schutz umgehen können. Cookie-Tossing-Angriffe können auch Session-Fixierungsprobleme ausnutzen.“

Diesen Beitrag teilen: