CVE-2024-10125 - manca la convalida dell'emittente e del firmatario JWT in aws-alb-identity-aspnetcore

Data di pubblicazione: 21/10/2024 alle ore 16:00 PDT

Descrizione:

Il repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore contiene middleware che può essere utilizzato insieme all'integrazione OpenID Connect di Application Load Balancer (ALB) e può essere utilizzato in qualsiasi scenario di implementazione ASP.NET Core, tra cui AWS Fargate, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Compute Cloud (Amazon EC2) e AWS Lambda. Nel codice di gestione JWT, esegue la convalida della firma ma non riesce a convalidare l'identità dell'emittente e del firmatario JWT. L'omissione del firmatario, se combinata con uno scenario in cui il proprietario dell'infrastruttura consente il traffico Internet verso le destinazioni ALB (configurazione non consigliata), può consentire la firma JWT da parte di un'entità non attendibile e un attore può essere in grado di imitare sessioni federate OIDC valide alle destinazioni ALB.

Versioni interessate: tutte le versioni

Risoluzione

Il repository/pacchetto è stato dichiarato obsoleto, è alla fine del ciclo di vita e non è più supportato attivamente.

Soluzioni alternative

Come best practice di sicurezza, assicurati che i tuoi obiettivi ELB (ad esempio istanze EC2, Fargate Task ecc.) non abbiano indirizzi IP pubblici.

Assicurati che qualsiasi codice derivato o di cui hai eseguito il fork convalidi che l'attributo signer nel JWT corrisponda all'ARN dell'Application Load Balancer che il servizio è configurato a utilizzare.

Riferimenti

Desideriamo ringraziare Miggo Security per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata.

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.