Peneliti keamanan siber telah membagikan rincian kerentanan keamanan yang kini telah ditambal di Alur Kerja Terkelola Amazon Web Services (AWS) untuk Apache Airflow ( MWAA ) yang berpotensi dieksploitasi oleh aktor jahat untuk membajak sesi korban dan mencapai eksekusi kode jarak jauh pada instans yang mendasarinya.

Kerentanannya, yang kini ditangani oleh AWS, telah diberi nama kode FlowFixation oleh Tenable.

“Setelah mengambil alih akun korban, penyerang dapat melakukan tugas seperti membaca string koneksi, menambahkan konfigurasi, dan memicu grafik asiklik terarah (DAGS),” kata peneliti keamanan senior Liv Matan dalam analisis teknis.

“Dalam keadaan tertentu, tindakan tersebut dapat mengakibatkan RCE pada instansi yang mendasari MWAA, dan perpindahan lateral ke layanan lain.”

Akar penyebab kerentanan, menurut perusahaan keamanan siber, adalah kombinasi fiksasi sesi pada panel manajemen web AWS MWAA dan kesalahan konfigurasi domain AWS yang mengakibatkan serangan skrip lintas situs ( XSS ).

Fiksasi sesi adalah teknik serangan web yang terjadi ketika pengguna diautentikasi ke suatu layanan tanpa membuat pengidentifikasi sesi yang ada menjadi tidak valid. Hal ini memungkinkan musuh untuk memaksa (alias memperbaiki) pengidentifikasi sesi yang diketahui pada pengguna sehingga, setelah pengguna mengautentikasi, penyerang memiliki akses ke sesi yang diautentikasi.

Dengan menyalahgunakan kelemahan ini, pelaku ancaman dapat memaksa korban untuk menggunakan dan mengautentikasi sesi penyerang yang diketahui dan pada akhirnya mengambil alih panel manajemen web korban.

“FlowFixation menyoroti masalah yang lebih luas dengan keadaan arsitektur dan manajemen domain penyedia cloud saat ini yang berkaitan dengan Daftar Sufiks Publik ( PSL ) dan domain induk bersama: serangan situs yang sama,” kata Matan, seraya menambahkan bahwa kesalahan konfigurasi juga berdampak pada Microsoft Azure dan Google Cloud.

Tenable juga menunjukkan bahwa arsitektur bersama – di mana beberapa pelanggan memiliki domain induk yang sama – dapat menjadi tambang emas bagi penyerang yang ingin mengeksploitasi kerentanan seperti serangan situs yang sama, masalah lintas asal, dan pelemparan cookie , yang secara efektif mengarah pada akses tidak sah, data kebocoran, dan eksekusi kode.

Kekurangan ini telah diatasi dengan AWS dan Azure dengan menambahkan domain yang salah dikonfigurasi ke PSL, sehingga menyebabkan browser web mengenali domain yang ditambahkan sebagai sufiks publik. Google Cloud, di sisi lain, menggambarkan masalah ini tidak “cukup parah” untuk diperbaiki.

“Dalam kasus serangan di situs yang sama, dampak keamanan dari arsitektur domain yang disebutkan di atas sangatlah signifikan, dengan meningkatnya risiko serangan serupa di lingkungan cloud,” jelas Matan.

“Di antaranya, serangan pelemparan cookie dan bypass perlindungan cookie atribut situs yang sama sangat mengkhawatirkan karena keduanya dapat menghindari perlindungan CSRF. Serangan pelemparan cookie juga dapat menyalahgunakan masalah fiksasi sesi.”