Data de publicação: 21/10/2024 16h00 PDT
Descrição:
O Amazon.ApplicationLoadBalancer.Identity.AspNetCore repo contém Middleware que pode ser usado em conjunto com a integração OpenId Connect do Application Load Balancer (ALB) e em qualquer cenário de implantação do ASP.NET Core, incluindo AWS Fargate, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Compute Cloud (Amazon EC2) e AWS Lambda. No código de manipulação do JWT, ele realiza a validação da assinatura, mas não valida o emissor e a identidade do assinante do JWT. A omissão do assinante, se combinada com um cenário em que o proprietário da infraestrutura permite tráfego da Internet para os destinos do ALB (configuração não recomendada), pode permitir que uma entidade não confiável assine JWTs, possibilitando que um agente mal-intencionado imite sessões federadas válidas de OIDC para os destinos do ALB.
Versões afetadas: todas as versões
Resolução
O repositório/pacote foi descontinuado, chegou ao fim de seu ciclo de vida e não recebe mais suporte ativo.
Soluções alternativas
Como prática recomendada de segurança, garanta que seus destinos do ELB (como instâncias do EC2, tarefas do Fargate etc.) não tenham endereços IP públicos.
Garanta que qualquer código derivado ou bifurcado valide se o atributo de assinante no JWT corresponde ao ARN do Application Load Balancer que o serviço está configurado para usar.
Referências
- Documentação do ALB, especificamente “Para garantir a segurança, você deve verificar a assinatura antes de realizar qualquer autorização baseada nas declarações e validar se o campo 'signer' no cabeçalho do JWT contém o ARN esperado do Application Load Balancer.”
- Exemplo com Python
- Aviso de segurança do GitHub
- CVE-2024-10125
Gostaríamos de agradecer à Miggo Security por colaborar nessa questão por meio do processo coordenado de divulgação.
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.