多达 15,000 个使用 Amazon Web Services （AWS） 应用程序负载均衡器 （ALB） 进行身份验证的应用程序可能容易受到基于配置的问题的影响，这可能会使它们面临规避访问控制并危及应用程序的风险。

这是根据以色列网络安全公司Miggo的调查结果得出的，该公司将问题称为ALBeast。

“这个漏洞允许攻击者直接访问受影响的应用程序，特别是当他们暴露在互联网上时，”安全研究员Liad Eliyahu说。

ALB 是一项 Amazon 服务，旨在根据请求的性质将 HTTP 和 HTTPS 流量路由到目标应用程序。它还允许用户从他们的应用程序中“卸载身份验证功能”到 ALB 中。

“Application Load Balancer 将在用户访问云应用程序时安全地对他们进行身份验证，”亚马逊在其网站上指出。

“Application Load Balancer 与 Amazon Cognito 无缝集成，允许最终用户通过 Google、Facebook 和 Amazon 等社交身份提供商进行身份验证，并通过 Microsoft Active Directory 等企业身份提供商通过 SAML 或任何符合 OpenID Connect 标准的身份提供商 （IdP） 进行身份验证。”

该攻击的核心涉及威胁参与者创建自己的 ALB 实例，并在其帐户中配置了身份验证。

在下一步中，ALB 用于签署他们控制下的令牌，并通过伪造具有受害者身份的真实 ALB 签名令牌来修改 ALB 配置，最终使用它来访问目标应用程序，绕过身份验证和授权。

换句话说，这个想法是让AWS对令牌进行签名，就好像它实际上来自受害者系统一样，并使用它来访问应用程序，假设它要么是可公开访问的，要么是攻击者已经可以访问它。

继 2024 年 4 月负责任地披露后，亚马逊更新了身份验证功能文档，并添加了新代码来验证签名者。

“为确保安全性，您必须在根据声明进行任何授权之前验证签名，并验证 JWT 标头中的签名者字段是否包含预期的应用程序负载均衡器 ARN，”亚马逊现在在其文档中明确指出。

“此外，作为安全最佳实践，我们建议您将目标限制为仅接收来自 Application Load Balancer 的流量。您可以通过配置目标的安全组来引用负载均衡器的安全组 ID 来实现此目的。

Acronis揭示了Microsoft Exchange的错误配置如何为电子邮件欺骗攻击打开大门，使威胁行为者能够绕过DKIM、DMARC和SPF保护，并发送伪装成受信任实体的恶意电子邮件。

该公司表示：“如果你没有锁定你的Exchange Online组织，只接受来自第三方服务的邮件，或者你没有为连接器启用增强过滤，任何人都可以通过 ourcompany.protection.outlook.com 或 ourcompany.mail.protection.outlook.com 向你发送电子邮件，DMARC（SPF和DKIM）验证将被跳过。