CVE-2024-8901

Nome do software vulnerável e versões afetadas:

AWS ALB Route Directive Adapter For Istio (versões afetadas não especificadas)

Descrição:

O problema diz respeito à falta de validação adequada do signatário e do emissor no mecanismo de autenticação JWT utilizado pelo AWS ALB Route Directive Adapter For Istio. Isso permite que um agente forneça um JWT assinado por uma entidade não confiável, potencialmente falsificando sessões federadas por OIDC e contornando a autenticação em implantações nas quais os destinos ALB estão diretamente expostos ao tráfego da Internet. O repositório foi descontinuado e não é mais suportado. Como prática recomendada de segurança, é recomendável garantir que os destinos do ELB não tenham endereços IP públicos.

Recomendações:

Como solução alternativa temporária, considere validar se o atributo signatário no JWT corresponde ao ARN do Application Load Balancer que o serviço está configurado para usar.

Certifique-se de que qualquer código bifurcado ou derivado implemente a validação adequada de signatário e emissor para a autenticação JWT.

Restrinja o acesso a destinos ELB, como instâncias EC2 ou tarefas Fargate, para minimizar o risco de exploração, não atribuindo endereços IP públicos a eles.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.