AWS Airflow服务中的安全漏洞：FlowFixation

关键要点

FlowFixation漏洞：AWS MWAA存在允许会话劫持的漏洞。修复时间：Amazon在2023年9月已实施修复，当前版本的用户不受影响。攻击方式：攻击者通过持有恶意代码的AWS域诱导受害者，插入攻击者的会话ID。安全隐患：多个云服务共享同一域名可能导致类似的攻击风险。Tenable报告：Tenable发现行业内常见错误配置，影响了AWS、Azure和GCP。

亚马逊网络服务AWS管理的Apache Airflow工作流MWAA被发现存在一个严重漏洞，该漏洞名为FlowFixation，允许攻击者通过一次点击便可实现会话劫持。根据Tenable的一篇博客文章的说法，该漏洞早在去年就被发现，并且已经被亚马逊修复。

AWS发言人Patrick Neighorn向SC Media表示：“AWS在2023年9月针对这些问题部署了修复，因此当前版本的Amazon MWAA用户不受影响。我们去年曾通知受影响的客户，并建议他们通过AWS控制台、API或AWS命令行界面更新其环境。在我们解决此问题之前，利用这些漏洞是一个复杂的过程，需要社会工程学的支持。”

FlowFixation使攻击者能够通过在其控制的AWS域例如攻击者控制的Amazon API Gateway REST API实例上托管恶意代码，从而访问其他用户的AWS MWAA网页面会话。

外网加速器

攻击过程

为了实现这一点，攻击者需要引诱受害者访问自己的域，这将触发托管的脚本插入包含攻击者会话ID的cookie到受害者的浏览器。一旦获得对受害者网络面板的访问，攻击者便可查看潜在敏感的工作流数据、执行远程代码及可能的横向移动。

由于许多AWS服务包括AWS MWAA和REST API共享“amazonawscom”这个公共域名，在修复之前，此类“cookie投掷”的会话劫持攻击并未被用户浏览器阻止。

Tenable研究揭示了多云服务提供商的XSS风险

在调查FlowFixation时，Tenable研究人员发现多个AWS、微软Azure和谷歌云平台GCP服务之间存在共通的错误配置，可能导致类似的跨站脚本XSS及会话劫持攻击。

这些缺陷源于云服务的域架构，多个实例由不同客户运行共享相同的域名，将其暴露于如cookie投掷之类的同站攻击风险。例如，许多AWS服务共享“amazonawscom”域名，多个GCP实例则使用“googleusercontentcom”域名。

Tenable研究人员解释，使用公共后缀列表PSL注册的域名可以避免同站攻击的风险，因为PSL禁止在共享公共后缀的子域间共享cookies。浏览器开发者利用该列表识别和隔离共享注册公共后缀的不同子域。当云服务域名，如“amazonawscom”，不在PSL中时，cookies就可以在不同的AWS实例之间共享，增加了类似FlowFixation的会话劫持攻击的风险。

Tenable发现多个AWS、Azure和GCP域未被包括在PSL内，并将这一问题及其风险报告给亚马逊、微软和谷歌。

在收到关于FlowFixation的报告后，亚马逊对其AWS域进行了全面审查，并将其API Gateway、Cognito、EMR、MWAA、S3、Sagemaker Notebook实例、SageMaker Studio、Analytics、Amplify、App Runner及Elastic Beanstalk的域名于去年十月加入PSL。

微软也得知了Azure域的错误配置，将其API Management、Edge、Front Door、Blob Storage、Cloud Services、Virtual Machines、Service Bus及Traffic Manager平台的域名于上个月注册到PSL。

Tenable还向谷歌报告，“googleusercontentcom”域名未