Sicurezza cloud in allerta: AWS corregge grave falla in Apache Airflow

Ricercatori di sicurezza informatica hanno recentemente rivelato l'individuazione e la correzione da parte di Amazon Web Services (AWS) di una grave falla di sicurezza nei suoi Managed Workflows per Apache Airflow (MWAA). Questa vulnerabilità, soprannominata FlowFixation da Tenable, avrebbe potuto consentire agli aggressori di dirottare le sessioni degli utenti e di eseguire codice a distanza sulle istanze sottostanti. AWS ha prontamente agito per sanare la vulnerabilità, prevenendo così potenziali abusi quali la lettura di stringhe di connessione, l’aggiunta di configurazioni o l'attivazione di grafici aciclici diretti (DAGS) che avrebbero potuto comportare esecuzioni di codice a distanza (RCE).

La naturale della vulnerabilità: session fixation e XSS

Il problema di sicurezza identificato discende da una combinazione di tecniche di attacco, specificamente la session fixation attraverso il pannello di gestione web di AWS MWAA e una configurazione errata del dominio AWS che facilita gli attacchi cross-site scripting (XSS). La fixation di sessione si verifica quando a un utente viene autenticato e un identificativo di sessione esistente non viene invalidato, permettendo all'attaccante di fissare tale identificativo e, di conseguenza, di accedere alla sessione autenticata dell'utente. L'abuso di questa vulnerabilità avrebbe potuto permettere agli attaccanti di accedere al pannello di gestione web delle vittime.

Implicazioni più ampie sulla sicurezza e correzioni

La vulnerabilità FlowFixation evidenzia un problema più ampio legato all'architettura e alla gestione del dominio dei provider di servizi cloud, in particolare per quanto riguarda la Public Suffix List (PSL) e i domini con genitore condiviso. Questa struttura condivisa aumenta il rischio di attacchi come quelli basati su same-site, problemi cross-origin e cookie tossing, potenzialmente portando ad accessi non autorizzati, fughe di dati ed esecuzione di codice. AWS e Azure hanno risposto aggiungendo i domini configurati errati alla PSL, mentre Google Cloud ha ritenuto il problema non sufficientemente grave da richiedere una correzione.

Consapevolezza e prevenzione degli attacchi

Il caso di FlowFixation sottolinea l'importanza della consapevolezza e della prevenzione in ambito di sicurezza informatica, soprattutto all'interno delle architetture cloud. La configurazione del dominio può avere un impatto significativo nella sicurezza, poiché facilita attacchi di tipo same-site, bypass della protezione CSRF tramite cookie-tossing e abusi della session fixation. È cruciale quindi adottare approcci proattivi per identificare e mitigare tali vulnerabilità, assicurando la protezione dei dati e delle risorse in ambiente cloud.