CVE-2024-8901 - Validación de emisor y firmante JWT faltante en aws-alb-route-directive-adapter-for-istio

Se descubrió una vulnerabilidad de seguridad en el repositorio AWS ALB Route Directive Adapter For Istio, que se integra en el proyecto Kubeflow. El adaptador utiliza JWT para la autenticación, pero carece de una adecuada validación de signer y emisor. Esta vulnerabilidad puede ser explotada en despliegues de ALB poco comunes, donde los puntos de conexión están expuestos al tráfico de Internet, lo que permite a un actor eludir la autenticación al proporcionar un JWT firmado por una entidad no confiable. Las versiones afectadas son v1.0 y v1.1. El repositorio ha sido depreciado y ya no cuenta con soporte activo. Como práctica de seguridad recomendada, se aconseja a los usuarios asegurarse de que sus objetivos de ELB no tengan direcciones IP públicas. Además, los usuarios deben validar que el atributo signer en el JWT coincida con el ARN del Application Load Balancer. La documentación de ALB ofrece orientación sobre cómo verificar la firma y validar el campo signer en el encabezado del JWT. La vulnerabilidad ha sido asignada CVE-2024-8901 y se ha publicado un Aviso de Seguridad de GitHub. Los usuarios con preguntas o inquietudes de seguridad se recomiendan enviar un correo electrónico a aws-security@amazon.com.