近日 AWS 修复了一个关键漏洞,通过利用该漏洞,攻击者可直接接管亚马逊 Apache Airflow(MWAA)托管工作流。该漏洞危害较大,虽然利用起来比较复杂,但扔建议及时进行修复。
网络安全公司 Tenable 披露 AWS 一个严重的安全漏洞,将之命名为 FlowFixation,攻击者可借此完全控制客户在 AWS 服务上的账户。AWS 承认漏洞存在,并表示该漏洞利用较为困难,且已经在几个月前进行修复,建议用户更新补丁。
Tenable 在报告中强调,通过研究发现了一个更加严重、广发的安全问题,并且可能在不久的未来造成伤害。
Apache Airflow 托管工作流(MWAA)是亚马逊推出的一项全托管的服务,简化了在 AWS 上运行开源版 Apache Airflow,构建工作流来执行 ETL 作业和数据管道的工作。
Apache Airflow 是一个开源工具,每月下载量达到 1200 万次,用于通过编程的方式开发、调度和监控被称为“工作流”的过程和任务序列。开发人员和数据工程师用 Apache Airflow 管理工作流,通过用户界面(UI)来监控它们,并通过一组强大的插件来扩展它们的功能。但是,要使用 Apache Airflow,需要进行手动安装、维护和扩展,AWS 解决了这个问题,它为开发人员和数据工程师提供了 MWAA,让他们可以在云端构建和管理自己的工作流,无需关心与管理和扩展 Airflow 平台基础设施相关的问题。
由于 MWAA 网络管理面板中的会话是固定的,以及 AWS 域名配置错误可引发跨站脚本攻击(XSS),让 FlowFixation 漏洞可以实现接管 MWAA。
Tenable 指出,攻击者可利用该漏洞强迫受害者使用并认证其已知的会话,随后利用已经认证的会话接管受害者的网络管理面板。这一步骤完成后,攻击者将可进行更进一步的入侵动作,包括读取连接字符串、添加配置、触发有向无环图等。此时他可以对底层实例执行远程代码攻击或进行其他横向移动。
Tenable 研究还揭示一个更广泛的问题,即共享父域和公共后缀列表(PSL)相关的同站点攻击。而由同一供应商提供云服务往往会共享一个父域,例如多个 AWS 服务共同使用“amazonaws.com”。这种共享导致了一个攻击场景,攻击者可对在“amazonaws.com”共享父域的子域资产发起攻击。
Tenable 解释称,在本地环境中,你通常不会允许用户在子域上运行 XSS,但在云上允许却是一个非常自然的操作。例如当用户创建一个 AWS S3 存储桶时,可以通过存储桶中的 HTML 页面来运行客户端代码;代码可以在 S3 存储桶子域的上下文中运行,自然也在共享父域“amazonaws.com”的上下文中运行。
也有研究显示,该风险不仅仅存在于 AWS,Azure/Google Cloud 等共享父服务域被错误配置,即域名没有出现在 PSL 上,那么客户也将面临相应的攻击风险,包括 cookie tossing、同站点 cookie 保护绕过等。
AWS 和微软都已经采取了措施来减轻 Tenable 报告中的风险。AWS 发言人 Patrick Neighorn 表示,AWS 在 2023 年 9 月对上述风险进行修复,因此运行当前版本的 Amazon 托管工作流 Apache Airflow(MWAA)的客户不会受到影响。在 2023 年 AWS 已经通知并督促用户通过 AWS 控制台、API 或 AWS 命令行界面进行更新修复。
参考链接:https://www.securityweek.com/vulnerability-allowed-one-click-takeover-of-aws-service-accounts/
