Data de publicação: 21/10/2024 16h00 PDT
O repositório AWS ALB Route Directive Adapter For Istio fornece um mecanismo de autenticação OIDC integrado ao projeto Kubeflow de código aberto. O adaptador usa o JWT para autenticação, mas não tem a validação apropriada do assinante e do emissor. Em implantações de ALB que ignoram as melhores práticas de segurança, nas quais os destinos de ALB estão diretamente expostos ao tráfego da Internet, um usuário mal-intencionado pode fornecer um JWT assinado por uma entidade não confiável para falsificar sessões federadas pelo OIDC e ignorar a autenticação com sucesso.
Versões afetadas: v1.0, v1.1
Resolução
O repositório/pacote foi descontinuado, chegou ao fim de seu ciclo de vida e não recebe mais suporte ativo.
Soluções alternativas
Como prática recomendada de segurança, garanta que seus destinos do ELB (como instâncias do EC2, tarefas do Fargate etc.) não tenham endereços IP públicos.
Garanta que qualquer código derivado ou bifurcado valide se o atributo de assinante no JWT corresponde ao ARN do Application Load Balancer que o serviço está configurado para usar.
Referências
- Documentação do ALB, especificamente “Para garantir a segurança, você deve verificar a assinatura antes de realizar qualquer autorização baseada nas declarações e validar se o campo 'signer' no cabeçalho do JWT contém o ARN esperado do Application Load Balancer.”
- Exemplo com Python
- Aviso de segurança do GitHub
- CVE-2024-8901
Gostaríamos de agradecer à Miggo Security por colaborar nessa questão por meio do processo coordenado de divulgação.
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.