Una reciente investigación detalla un método para explotar una falla de seguridad en la puerta de enlace API de Amazon Web Services (AWS) a través de un ataque de contrabando de encabezados HTTP. El especialista en pentesting Daniel Thatcher, a cargo del reporte, señala que los actores de amenazas pueden usar esta falla para ocultar encabezados de solicitudes HTTP de servidores determinados al tiempo que se mantienen visibles para otros.
Manipular la visibilidad de las solicitudes podría conducir al despliegue exitoso de solicitudes maliciosas y el contrabando de solicitudes. Los errores de emparejamiento en los servidores frontend y backend podrían forzar la filtración de datos e información potencialmente confidencial, además de la evasión de restricciones de IP y variantes de ataque como envenenamiento caché.
El ataque detallado por el investigador depende de crear una mutación en una solicitud de encabezado especialmente diseñada para enviarse a la infraestructura backend sin procesar por un servicio frontend confiable. Al analizar los programas de recompensas, Thatcher menciona haber detectado que las API que usaban AWS API Gateway permitirían el contrabando de encabezados.
Si un atacante pudiera agregar caracteres al nombre de un encabezado después de un espacio, por ejemplo, al cambiar X-My-Header:test a X-My-Header abcd:test, se crea la mutación que permitiría la evasión de los controles de seguridad establecidos por AWS. Además, un servidor en el frontend estaba eliminando y reescribiendo el encabezado X-Fordered-For, volviéndose vulnerable a una manipulación similar, haciendo caso omiso a las restricciones IP.
El investigador reportó sus hallazgos a AWS, cuyos equipos de seguridad abordaron rápidamente la falla de evasión IP. No obstante, poco después Thatcher señaló que aún era posible desplegar ataques de contrabando de encabezados a servidores backend.
Durante sus pruebas, el investigador también encontró un problema de evasión de restricción de IP similar en AWS Cognito, una aplicación de control y acceso a recursos de AWS. En este caso, la vulnerabilidad se considera de menor riesgo, ya que permitió a los atacantes realizar un total de solo 10 solicitudes de contraseña olvidadas antes de que se bloqueara una dirección IP sospechosa.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
