Cependant, Google Cloud Platform a repoussé l’attaque des chercheurs en sécurité

La contrebande de texte en clair HTTP / 2 (H2C) se révèle efficace contre Azure, Cloudflare Access, etc.

MISE À JOUR Les chercheurs en sécurité ont utilisé la nouvelle technique de «contrebande H2C» pour réaliser l’authentification, le routage et le contournement WAF sur un certain nombre de plates-formes cloud de premier plan.

Les premiers scalps sauvages de l’attaque comprenaient le routage et les contournements WAF dans Microsoft Azure et un contournement d’authentification dans Cloudflare Access, même si la plate-forme Google Cloud est restée intacte.

Les architectes de l’ingénierie, de la société de sécurité Bishop Fox, ont noté dans un monument Écris le que les équilibreurs de charge tels que AWS ALB / CLB, NGINX et Apache Traffic Server ont bloqué la contrebande H2C car ils « ne transfèrent pas les en-têtes requis pour une mise à niveau conforme de la connexion H2C », déclare un entrée de blog depuis la plateforme de surveillance de la sécurité Assetnote.

CONTEXTE La contrebande H2C nommée meilleure technique de piratage Web de 2020

Cependant, Bishop Fox avait également déterminé que « tous les backends n’étaient pas conformes et nous avons pu tester avec la variante non conforme dans laquelle la valeur dans l’en-tête est omise », explique le directeur technique d’Assetnote Sean Yeoh.

Réingénierie Évêque Fox contrebandiers H2C En conséquence, les chercheurs d’Assetnote ont réussi à «trouver plusieurs instances de services configurés par défaut qui permettaient les mises à niveau H2C», ouvrant la voie au contournement du contrôle d’autorisation «sur des proxys inverses temporaires».

Que sont les attaques de contrebande H2C?

La contrebande de texte brut HTTP / 2 (H2C) présentée en septembre 2020 utilise à mauvais escient « les frontaux inconscients H2C pour créer un tunnel pour les systèmes backend dans lequel les attaquants peuvent contourner les règles de réécriture des frontends et exploiter les en-têtes HTTP internes », a déclaré James Kettle, responsable de Recherche à PortSwigger Web Security *.

Kettle a fait les commentaires après avoir découvert que l’attaque était la seule Meilleure technique de piratage Web de 2020.

H2C, un protocole obsolète, met à jour une connexion HTTP régulière, transitoire et en texte clair vers une connexion persistante à l’aide du protocole binaire HTTP2. Et lorsqu’une requête HTTP envoyée à un proxy inverse « contient un en-tête, le proxy maintient une connexion permanente et une marge de manœuvre pour une communication continue entre le client et le serveur », a déclaré Yeoh.

«Nous pouvons faire face à la contrebande de H2C [routing] Règles qu’un proxy inverse utilise lors du traitement de demandes telles que le routage basé sur le chemin, l’authentification ou le traitement WAF, en supposant que nous pouvons d’abord établir une connexion H2C. « 

Microsoft Azure

Microsoft Azure a présenté « le cas d’utilisation le plus intéressant pour l’impact », a déclaré Yeoh, car « les passerelles d’applications Azure offrent l’opportunité Attachez l’Azure WAF à la passerelle. « 

Comme Access Gateway a été supprimé de l’en-tête, mais que les autres sont restés «intacts», les chercheurs ont pu contourner les règles de routage.

Plus important encore, lorsque vous configurez Azure WAF, il fournit un contournement WAF global, tant que votre première demande n’est pas bloquée par le WAF et que vous pouvez établir une connexion H2C.

Yeoh a félicité Microsoft pour avoir assuré un « processus sans douleur et fluide », malgré le fait qu’il soit difficile d’appliquer des mises à jour de sécurité sans affecter l’expérience client.

Accès Cloudflare

Les règles appliquées par Cloudflare Access, un service d’authentification appliqué par l’équilibreur de charge Cloudflare, ont été contournées car le proxy de requête « a changé l’en-tête d’exclusion » mais a conservé les autres en-têtes.

Cloudflare a été alerté sur le programme de bounty et a « réagi très rapidement » pour corriger le bogue, même si « les attentes des clients devaient être équilibrées » Maintenance des connexions H2C»Dit Yeoh.

Google Cloud Platform

Bien que l’équilibreur de charge de Google permette de configurer des règles de routage de base, une tentative de mise à niveau HTTP invitera l’équilibreur de charge à supprimer « tous et en-têtes », bloquant ainsi une mise à niveau de connexion et des attaques de contrebande H2C.

Toutes les autres plates-formes cloud vulnérables ont refusé à Assetnote l’autorisation de divulguer les détails.

Leçons apprises

Pour trouver ces solutions de contournement, les chercheurs ont configuré un serveur pour mettre à jour les connexions H2C non conformes et conformes et ont trouvé un équilibreur de charge pouvant être configuré avec des règles ou des fonctionnalités de routage.

Bien qu’ils aient utilisé un serveur incompatible, Yeoh a souligné que les développeurs «peuvent ne pas comprendre les éléments internes de leurs proxys inverses / services internes hébergés derrière l’équilibreur de charge, et peuvent donc être vulnérables même si leur équilibreur de charge est configuré correctement».

Le fait que Jake Miller de Bishop Fox soupçonne que les grands fournisseurs de cloud seraient invulnérables à la contrebande de H2C a montré que «même les meilleurs chercheurs en sécurité le font [incorrect] Des hypothèses sur leurs recherches ou peuvent ne pas avoir le temps de trouver toutes les parties impliquées », a conclu Yeoh.

En savoir plus sur les dernières techniques de piratage

« Par conséquent, même si la recherche est publiée, il existe souvent de nombreuses possibilités d’élargir et de faire progresser la recherche. »

Les recherches d’Assetnote montrent également que les mesures de sécurité pour l’équilibreur de charge seul « peuvent être inadéquates si l’accès est restreint ou si votre application est sécurisée », a ajouté le chercheur.

Néanmoins, il a reconnu la difficulté de se tenir au courant de «ces problèmes de configuration nuancés, en particulier sur une large et fluide surface d’attaque de nuages».

Lorsqu’on lui a demandé quelle était la direction la plus fructueuse pour de nouvelles recherches sur la contrebande de H2C, Yeoh a déclaré La gorgée quotidienne qu ‘ »il existe un certain nombre de pistes intéressantes à explorer », en particulier « la contrebande de H2C liée à l’intrusion et aux services de Kubernetes ».

Cet article a été mis à jour le 25 mars avec des commentaires supplémentaires de Sean Yeoh à Assetnote.

* Divulgation: PortSwigger est la société mère de The Daily Swig

LIÉ Google attribue au chercheur uruguayen un prix de 133 337 $ US dans le cadre du concours de sécurité cloud





Source link

Recent Posts