Pesquisadores de cibersegurança revelaram detalhes de uma vulnerabilidade de segurança crítica, agora corrigida, nos Serviços Gerenciados da Amazon Web Services (AWS) para o Apache Airflow (MWAA), que poderia ser explorada por um ator malicioso para sequestrar sessões de vítimas e executar código remotamente nas instâncias subjacentes.

A vulnerabilidade, endereçada pela AWS, foi apelidada de FlowFixation pela Tenable. Ao assumir a conta da vítima, o atacante poderia realizar tarefas como ler strings de conexão, adicionar configurações e acionar grafos acíclicos direcionados (DAGs).

Em certas circunstâncias, tais ações podem resultar em execução remota de código (RCE) na instância que sustenta o MWAA, e em movimento lateral para outros serviços. A causa raiz da vulnerabilidade, segundo a empresa de cibersegurança, é uma combinação de fixação de sessão no painel de gerenciamento web do AWS MWAA e uma má configuração de domínio da AWS que resulta em um ataque de cross-site scripting (XSS).

A fixação de sessão é uma técnica de ataque web que ocorre quando um usuário é autenticado em um serviço sem invalidar quaisquer identificadores de sessão existentes. Isso permite que o adversário force (ou fixe) um identificador de sessão conhecido em um usuário para que, uma vez que o usuário se autentique, o atacante tenha acesso à sessão autenticada.