Data inicial de publicação: 26/04/2021 - 10:20h PDT
Em 13 de abril de 2021, a AWS tomou conhecimento de um caso extremo que afeta como alguns Application Load Balancers (ALB) lidavam com a alternância de chaves para criptografia de tíquetes de sessões TLS/SSL. Esse caso extremo foi introduzido em setembro de 2020 e resultou em um cenário no qual uma pequena porcentagem do tráfego do ALB usava de forma intermitente uma chave de criptografia de tíquete de sessão não inicializada. O caso extremo era desencadeado principalmente durante períodos silenciosos de atividade. ALBs com uma alta variação de tráfego, como picos e vales diários, raramente disparavam o caso extremo. A mitigação para o caso extremo começou dentro de 8 horas após a descoberta e foi concluída em 16 de abril de 2021. Esse problema foi completamente resolvido.
O TLS/SSL é o protocolo que fornece a criptografia em trânsito para conexões HTTPS aos ALBs. Tíquetes de sessão são usados para retomar sessões TLS/SSL e contêm uma cópia criptografada dos parâmetros usados para criptografar a conexão. Tíquetes de sessão são usados principalmente quando o cliente é um navegador da Web. As conexões afetadas pelo problema do caso extremo estavam criptografadas e não havia sinais externos de problemas. No entanto, o conhecimento do problema do caso extremo poderia teoricamente ser usado para descriptografar tíquetes de sessão afetados. No caso muito improvável em que uma conexão afetada estivesse sendo observada, os parâmetros contidos em um tíquete de sessão afetado poderiam ser usados para descriptografar a conexão.
A rede da AWS inclui estratégias existentes de defesa profunda contra esse tipo de problema. Como resultado, o tráfego do ALB entre datacenters, zonas de disponibilidade, regiões, zonas locais e Outposts da AWS estava totalmente protegido pela criptografia de rede da AWS. O tráfego do ALB entre redes da AWS e as instalações do cliente usando os serviços Amazon VPN ou Amazon Direct Connect MACSEC também estava totalmente protegido. AWS Network Load Balancers (NLB), Classic Load Balancers (CLBs) e outros recursos da Amazon Web Services não foram afetados por esse problema.
A AWS gostaria de agradecer a Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget e Juraj Somorovsky da Universidade de Paderborn e da Universidade Ruhr de Bochum, Alemanha, por denunciarem esse problema.