Fecha de publicación inicial: 21/10/2024 16:00 h PDT
El repositorio AWS ALB Route Directive Adapter For Istio proporciona un mecanismo de autenticación OIDC que se integró en el proyecto de código abierto Kubeflow. El adaptador utiliza JWT para la autenticación, pero carece de una validación adecuada del firmante y el emisor. En implementaciones de ALB que ignoran las prácticas recomendadas de seguridad, en las que los destinos de ALB están expuestos directamente al tráfico de Internet, un actor puede proporcionar un JWT firmado por una entidad que no sea de confianza con el fin de falsificar sesiones federadas OIDC y eludir con éxito la autenticación.
Versiones afectadas: v1.0, v1.1
Resolución
El repositorio/paquete ha quedado obsoleto, ha llegado al final de su vida útil y ya no tiene soporte activo.
Soluciones alternativas
Como práctica recomendada de seguridad, asegúrese de que sus destinos de ELB (por ejemplo, instancias de EC2, tareas de Fargate, etc.) no tengan direcciones IP públicas.
Asegúrese de que cualquier código derivado o bifurcado valide que el atributo del firmante de JWT coincida con el ARN del equilibrador de carga de aplicación para el que está configurado el servicio.
Referencias
- Específicamente, en la documentación de ALB: “Para garantizar la seguridad, debe verificar la firma antes de realizar cualquier autorización basada en las afirmaciones y comprobar que el campo del firmante del encabezado de JWT contenga el ARN esperado del equilibrador de carga de aplicación”.
- Ejemplo de Python
- Nota oficial sobre seguridad de GitHub
- CVE-2024-8901
Agradecemos a Miggo Security por colaborar en este asunto a través del proceso de divulgación coordinado.
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.