結論
- サービスがIdpと連携していたとしてもALBが認証プロバイダーと連携してトークンの検証を行っていない場合、ALBeast脆弱性の影響はありません。
概要
https://www.miggo.io/resources/uncovering-auth-vulnerability-in-aws-alb-albeast
- 攻撃者は正規のトークンを模倣した不正に署名されたトークンを生成し、本脆弱性を悪用すると、ALBがこの不正トークンを正しく検証せずに受け入れてしまう。
その結果、Idpとの連携システムであっても発行した正規のトークンがなくても、攻撃者は偽のトークンで認証を通過できる可能性があるため、アクセス制御が回避される恐れがあります。
対策
- AWSはALBにおける認証機能を更新済
付録
- トークンを偽装されて接続されたとしてもアプリケーション内でもBasic認証やOAuth2.0などの認証を導入していれば悪意のある接続は防げていた
- そもそもALBで署名を検証できていなかったというのは耳を疑うような欠陥なので、利用料金の一部を返納しろというコメントがサポートに出てるような気もしますね...