ALBeast 버그가 AWS ALB 인증 기능을 사용하는 15,000개 앱에 영향을 미침

인증을 위해 AWS Application Load Balancer(ALB)를 사용하는 애플리케이션에 영향을 미치는 중요한 구성 버그가 발견되었습니다. 이 결함은 비즈니스 리소스에 대한 무단 액세스, 데이터 침해 및 데이터 유출로 이어질 수 있습니다.

AWS Application Load Balancer(ALB)에서 비즈니스 리소스에 대한 무단 액세스, 데이터 침해 및 데이터 유출로 이어질 수 있는 심각한 구성 버그가 발견되었습니다.

"ALBeast"라고 불리는 이 결함은 Miggo Research에서 식별되었으며 인증을 위해 ALB를 사용하는 애플리케이션에 영향을 미칩니다. 연구팀에 따르면 AWS ALB 인증 기능을 사용하여 잠재적으로 취약한 앱이 15,000개 이상 발견되었습니다.

AWS 로드 밸런서는 들어오는 애플리케이션 트래픽을 AWS EC2 웹 서비스 인스턴스와 같은 여러 대상에 분산합니다. ALBeast 결함은 ALB 인증에 의존하는 인터넷에 노출된 애플리케이션에서 인증 및 권한 부여 우회를 유발할 수 있습니다.

"AWS ALB에는 2018년에 출시된 인증 기능이 있으며 고객이 이를 안전하게 구현하는 방법에 대한 몇 가지 기능과 문서가 포함되어 있습니다."라고 Miggo의 연구 책임자인 Liad Eliyahu는 설명했습니다. "그러나 우리는 문서에 두 가지 중요한 부분이 누락되어 애플리케이션이 취약해지는 것을 발견했습니다."

Eliyahu에 따르면 첫 번째 누락된 요소는 ALB가 실제로 토큰에 서명했는지 확인하는 것입니다. Miggo 팀은 오픈 소스 프로젝트의 수많은 구현과 커뮤니티에서 작성한 ALB 인증 가이드를 검사했으며 수십 명 중 단 한 명만이 이 유효성 검사를 언급했습니다. “그때 팀은 거의 모든 프로그래머가 코드에 이러한 검증을 포함하지 않았다고 가정했습니다.”

두 번째로, Miggo는 AWS가 고객을 식별하고 알린다고 주장하는 보안 그룹에서 잘못된 구성을 발견했습니다. Eliyahu에 따르면 수많은 출처에서 이것이 가장 일반적인 AWS 구성 오류 중 하나임을 나타냅니다.

"우리는 AWS 측에서 대부분의 ALBeast 문제를 완화할 수 있는 ALB 구현 변경을 수행할 것을 AWS에 제안했습니다."라고 Eliyahu는 말했습니다. "그들은 구현을 변경하지 않고 고객에게 연락하여 취해야 할 두 가지 조치에 대해 알리기로 결정했습니다."

6일 전에 발표된 AWS의 블로그 게시물에는 다음과 같은 보안 모범 사례가 포함되어 있습니다.

"AWS ALB의 구성 문제는 ALB 자체의 결함이 아니라 사용자가 구성한 방식에서 발생합니다."라고 Sectigo의 제품 담당 수석 부사장인 Jason Soroko는 덧붙였습니다. Soroko에 따르면 이 문제는 앱이 토큰 서명자를 검증하지 못하거나 실수로 ALB가 아닌 소스의 트래픽을 수락하여 리소스에 대한 무단 액세스 및 데이터 유출을 허용하는 부적절한 인증 설정과 관련이 있습니다.

“보안 팀은 앱이 토큰을 올바르게 확인하고 신뢰할 수 있는 소스, 특히 ALB로만 트래픽을 제한하도록 해야 합니다. AWS는 구성 담당자가 위험을 이해할 수 있도록 이에 대한 문서를 지속적으로 개선하지만 이는 이러한 종류의 구성 실수를 파악하는 데 도움이 되는 Amazon AWS에서 제공하는 진단 도구와 타사 도구도 살펴보는 것이 좋습니다."

위 내용은 ALBeast 버그가 AWS ALB 인증 기능을 사용하는 15,000개 앱에 영향을 미침의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!