اختر منطقتك 
حالة الطقس 
وفقًا لبحث جديد، كان من الممكن أن يستغل أحد المهاجمين ثغرة أمنية مرتبطة بخدمة توجيه حركة المرور في Amazon Web Service والمعروفة باسم Application Load Balancer لتجاوز عناصر التحكم في الوصول واختراق تطبيقات الويب. ينبع الخلل من مشكلة في تنفيذ العميل، مما يعني أنه ليس ناتجًا عن خلل في البرنامج. بدلاً من ذلك، تم تقديم التعرض من خلال الطريقة التي يقوم بها مستخدمو AWS بإعداد المصادقة باستخدام Application Load Balancer.
تشكل مشكلات التنفيذ عنصرًا بالغ الأهمية في أمن السحابة بنفس الطريقة التي لا يتم بها حماية محتويات الخزنة المدرعة إذا تُرك الباب مفتوحًا جزئيًا. وجد الباحثون من شركة الأمن Miggo أنه، اعتمادًا على كيفية إعداد مصادقة موازن تحميل التطبيق، يمكن للمهاجم التلاعب بتسليمها إلى خدمة مصادقة شركة تابعة لجهة خارجية للوصول إلى تطبيق الويب المستهدف وعرض البيانات أو استخراجها.
يقول الباحثون إنهم من خلال النظر في تطبيقات الويب التي يمكن الوصول إليها علنًا، حددوا أكثر من 15000 تطبيق يبدو أنها تحتوي على تكوينات ضعيفة. ومع ذلك، تعارض AWS هذا التقدير، وتقول إن “جزءًا صغيرًا من النسبة المئوية لعملاء AWS لديهم تطبيقات قد تم تكوينها بشكل خاطئ بهذه الطريقة، وهو أقل بكثير من تقدير الباحثين”. وتقول الشركة أيضًا إنها اتصلت بكل عميل في قائمتها الأقصر لتوصية بتنفيذ أكثر أمانًا. ومع ذلك، لا تتمتع AWS بإمكانية الوصول إلى بيئات السحابة الخاصة بعملائها أو رؤيتها، لذا فإن أي رقم دقيق هو مجرد تقدير.
يقول باحثو ميجو إنهم واجهوا المشكلة أثناء العمل مع أحد العملاء. ويقول دانييل شيختر الرئيس التنفيذي لشركة ميجو: “تم اكتشاف هذه المشكلة في بيئات الإنتاج الحقيقية. لقد لاحظنا سلوكًا غريبًا في نظام العملاء – بدا الأمر كما لو كانت عملية التحقق تتم جزئيًا فقط، كما لو كان هناك شيء مفقود. وهذا يوضح حقًا مدى عمق الترابط بين العميل والبائع”.
لاستغلال مشكلة التنفيذ، يقوم المهاجم بإعداد حساب AWS وموازن تحميل التطبيق، ثم يقوم بتوقيع رمز المصادقة الخاص به كالمعتاد. بعد ذلك، يقوم المهاجم بإجراء تغييرات في التكوين بحيث يبدو أن خدمة المصادقة الخاصة بالهدف أصدرت الرمز. بعد ذلك، يقوم المهاجم بتوقيع AWS على الرمز كما لو كان صادرًا بشكل شرعي من نظام الهدف واستخدامه للوصول إلى تطبيق الهدف. يجب أن يستهدف الهجوم على وجه التحديد تطبيقًا تم تكوينه بشكل غير صحيح ويمكن الوصول إليه علنًا أو يمكن للمهاجم الوصول إليه بالفعل، ولكنه يسمح له بتصعيد امتيازاته في النظام.
وتقول شركة أمازون ويب سيرفيسز إن الشركة لا تنظر إلى تزوير الرموز على أنه ثغرة أمنية في Application Load Balancer لأنها في الأساس نتيجة متوقعة لاختيار تكوين المصادقة بطريقة معينة. ولكن بعد أن كشف باحثو Miggo لأول مرة عن نتائجهم لشركة أمازون ويب سيرفيسز في بداية شهر أبريل، أجرت الشركة تغييرين في الوثائق يهدفان إلى تحديث توصيات التنفيذ الخاصة بمصادقة Application Load Balancer. وتضمن أحد التغييرات، اعتبارًا من الأول من شهر مايو، إرشادات لإضافة التحقق قبل أن يوقع Application Load Balancer الرموز. وفي 19 يوليو، أضافت الشركة أيضًا توصية صريحة مفادها أن المستخدمين يضبطون أنظمتهم لتلقي حركة المرور من Application Load Balancer الخاص بهم فقط باستخدام ميزة تسمى “مجموعات الأمان”.
