Selon des chercheurs en sécurité, jusqu’à 15 000 applications AWS sont vulnérables en raison d’une mauvaise configuration de l’Application Load Balancer. AWS explique comment utiliser l’outil.
La société de sécurité Miggo a découvert la vulnérabilité dans AWS lors de l’intégration d’un client. La vulnérabilité se trouve dans Application Load Balancer, un outil qui distribue automatiquement le trafic réseau entrant entre les applications web et les serveurs afin d’éviter les surcharges. Après avoir étudié l’outil de plus près, les chercheurs de Miggo ont découvert comment les attaquants pouvaient déclencher une erreur d’authentification via Load Balancer.
La vulnérabilité est due à une mauvaise configuration de l’outil côté client et non à un bogue dans le logiciel. Pour exploiter le système, un pirate configure un compte AWS et un Application Load Balancer, puis fait signer un jeton d’authentification. Il modifie ensuite la configuration pour faire croire que le service d’authentification de la cible a émis le jeton pour accéder à l’application cible.
15 000 applications vulnérables
Comme les chercheurs en sécurité ont découvert cette configuration dans l’environnement d’un client actif, ils soupçonnent que d’autres clients AWS pourraient bien être vulnérables sans le savoir. Selon les chercheurs, au moins 15 000 applications AWS sont vulnérables. Cette estimation est basée sur l’analyse des applications clients accessibles au public.
AWS se défend et dit que ce chiffre n’est pas aussi élevé. Dans une réponse à Wired, le fournisseur cloud affirme que seule une « petite fraction d’un pour cent des clients AWS ont des applications susceptibles d’être mal configurées de cette manière ». Mais là encore, ce chiffre est purement estimatif : AWS déclare ne pas avoir accès aux environnements cloud de ses clients et ne peut donc pas donner un chiffre exact.
Le fournisseur cloud précise qu’il ne s’agit pas d’une faille d’authentification dans l’outil lui-même, car l’attaquant doit déjà avoir obtenu un accès direct à l’application pour exploiter la vulnérabilité. Le problème ne peut pas non plus être résolu par un simple correctif. Depuis qu’elle a été informée de l’existence d’une mauvaise configuration, AWS a apporté quelques modifications au manuel de son Application Load Balancer.
Entre autres, il est conseillé aux clients de mettre en place une validation supplémentaire avant que l’Application Load Balancer puisse approuver les jetons d’authentification. Un dernier ajout au manuel a eu lieu le 19 juillet. Il recommande explicitement de créer des « groupes de sécurité » afin que les systèmes ne reçoivent que le trafic de leur propre Application Load Balancer.
Responsabilité partagée
Cet incident est un exemple typique du « modèle de responsabilité partagée » dans le cloud public. Les fournisseurs cloud fournissent les outils nécessaires pour sécuriser l’environnement cloud, mais le client a la responsabilité de tout mettre en place correctement.
Parfois, les entreprises l’oublient et supposent que le fournisseur est responsable de la sécurité. En conséquence, elles ouvrent grand les portes de leur environnement cloud sans le savoir.