CVE-2024-10125: falta la validación del emisor y firmante de JWT en aws-alb-identity-aspnetcore

Fecha de publicación inicial: 21/10/2024 16:00 h PDT

Descripción:

El repositorio Amazon.ApplicationLoadBalancer.Identity.AspNetCore contiene middleware que se puede usar junto con la integración de OpenID Connect en el equilibrador de carga de aplicación (ALB) y en cualquier escenario de despliegue de ASP.NET Core, incluidos AWS Fargate, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Compute Cloud (Amazon EC2) y AWS Lambda. En el código de manejo de JWT, realiza la validación de la firma pero no valida la identidad del emisor y del firmante de JWT. La omisión del firmante, en combinación con el caso en el que el propietario de la infraestructura permita el tráfico de Internet a los destinos de ALB (configuración no recomendada), puede dar lugar a que una entidad que no sea de confianza firme en JWT y que un intruso pueda imitar sesiones válidas federadas con OIDC a los destinos de ALB.

Versiones afectadas: todas las versiones

Resolución

El repositorio/paquete ha quedado obsoleto, ha llegado al final de su vida útil y ya no tiene soporte activo.

Soluciones alternativas

Como práctica recomendada de seguridad, asegúrese de que sus destinos de ELB (por ejemplo, instancias de EC2, tareas de Fargate, etc.) no tengan direcciones IP públicas.

Asegúrese de que cualquier código derivado o bifurcado valide que el atributo del firmante de JWT coincida con el ARN del equilibrador de carga de aplicación para el que está configurado el servicio.

Referencias

Agradecemos a Miggo Security por colaborar en este asunto a través del proceso de divulgación coordinado.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.