Remiantis naujais tyrimais, užpuolikas galėjo išnaudoti pažeidžiamumą, susijusį su „Amazon Web Service“ srauto nukreipimo paslauga, vadinamą „Application Load Balancer“, siekdamas apeiti prieigos kontrolę ir pažeisti žiniatinklio programas. Trūkumas kyla dėl kliento diegimo problemos, o tai reiškia, kad ją sukėlė ne programinės įrangos klaida. Vietoj to, ekspozicija buvo pristatyta tuo būdu, kaip AWS vartotojai nustatė autentifikavimą naudodami „Application Load Balancer“.
Diegimo problemos yra esminis debesų saugos komponentas taip pat, kaip ir šarvuoto seifo turinys nėra apsaugotas, jei durys paliekamos praviros. Saugos įmonės „Miggo“ tyrėjai nustatė, kad, atsižvelgiant į tai, kaip buvo nustatytas „Application Load Balancer“ autentifikavimas, užpuolikas gali manipuliuoti perdavimu trečiosios šalies įmonės autentifikavimo tarnybai, kad pasiektų tikslinę žiniatinklio programą ir peržiūrėtų arba išfiltruotų duomenis.
Tyrėjai teigia, kad žvelgdami į viešai pasiekiamas žiniatinklio programas, jie nustatė daugiau nei 15 000 pažeidžiamų konfigūracijų. Tačiau AWS ginčija šį įvertinimą ir teigia, kad „maža dalis procento AWS klientų turi programas, kurios gali būti netinkamai sukonfigūruotos tokiu būdu, o tai yra daug mažiau nei tyrėjų įvertinimas“. Bendrovė taip pat teigia, kad susisiekė su kiekvienu trumpesniame sąraše esančiu klientu, kad rekomenduotų saugesnį diegimą. Tačiau AWS neturi prieigos ar matomumo savo klientų debesų aplinkoje, todėl bet koks tikslus skaičius yra tik apytikslis.
Miggo mokslininkai teigia, kad jie susidūrė su problema dirbdami su klientu. Tai „buvo atrasta realioje gamybos aplinkoje“, – sako „Miggo“ generalinis direktorius Danielis Shechteris. „Pastebėjome keistą klientų sistemos elgesį – atrodė, kad patvirtinimo procesas buvo atliktas tik iš dalies, tarsi kažko trūktų. Tai tikrai parodo, kokia gili kliento ir pardavėjo tarpusavio priklausomybė.
Norėdamas išnaudoti diegimo problemą, užpuolikas turi sukurti AWS paskyrą ir programos apkrovos balansavimo priemonę, o tada, kaip įprasta, pasirašyti savo autentifikavimo prieigos raktą. Tada užpuolikas atliks konfigūracijos pakeitimus, kad atrodytų, kad jo taikinio autentifikavimo tarnyba išdavė prieigos raktą. Tada užpuolikas turėtų AWS pasirašyti prieigos raktą, tarsi jis būtų teisėtai kilęs iš taikinio sistemos, ir naudoti jį, kad pasiektų tikslinę programą. Ataka turi būti konkrečiai nukreipta į netinkamai sukonfigūruotą programą, kuri yra viešai prieinama arba prie kurios užpuolikas jau turi prieigą, bet leistų išplėsti savo teises sistemoje.
„Amazon Web Services“ teigia, kad įmonė nelaiko žetonų klastojimu kaip „Application Load Balancer“ pažeidžiamumu, nes tai iš esmės yra laukiamas rezultatas pasirinkus konfigūruoti autentifikavimą tam tikru būdu. Tačiau po to, kai „Miggo“ tyrėjai pirmą kartą atskleidė savo išvadas AWS balandžio pradžioje, bendrovė padarė du dokumentų pakeitimus, siekdama atnaujinti įgyvendinimo rekomendacijas dėl „Application Load Balancer“ autentifikavimo. Viename, nuo gegužės 1 d., buvo pateiktos gairės, kaip pridėti patvirtinimą, kol „Application Load Balancer“ pasirašys prieigos raktus. Liepos 19 d. bendrovė taip pat pridėjo aiškią rekomendaciją, kad vartotojai nustatytų savo sistemas, kad gautų srautą tik iš savo programų apkrovos balansavimo, naudodami funkciją, vadinamą „saugos grupėmis“.