CVE-2024-8901 - Istio용 AWS ALB 경로 지시어 어댑터에서 JWT 발급자 및 서명자 확인 누락

AWS ALB Route Directive Adapter For Istio 저장소에서 보안 취약점이 발견되었습니다. 이 어댑터는 JWT를 인증에 사용하지만 적절한 signer 및 발행자 확인이 없습니다. 이 취약점은 드문 ALB 배포에서 엔드포인트가 인터넷 트래픽에 노출되는 경우에만 악용할 수 있습니다. 이 경우에는 악의적인 행위자가 신뢰할 수 없는 엔티티에 의해 서명된 JWT를 제공하여 인증을 우회할 수 있습니다. 영향을 받는 버전은 v1.0 및 v1.1입니다. 이 저장소는 더 이상 지원되지 않으며 사용되지 않습니다. 보안 모범 사례로, 사용자는 ELB 대상이 공용 IP 주소를 갖지 않도록 확인해야 합니다. 또한, 사용자는 JWT 헤더의 signer 속성이 Application Load Balancer의 ARN과 일치하는지 확인해야 합니다. ALB 문서에서는 JWT의 서명 확인 및 signer 필드 확인에 대한 지침을 제공합니다. 이 취약점은 CVE-2024-8901로 할당되었습니다. GitHub Security Advisory도 게시되었습니다. 보안 질문이나 우려 사항이 있는 사용자는 aws-security@amazon.com으로 이메일을 보내야 합니다.