WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
API của các nền tảng Amazon Web Services tồn tại lỗ hổng đánh cắp danh tính
Nhóm nghiên cứu Unit 42 của công ty Palo Alto Networks vừa công bố một báo cáo chi tiết cách thức 22 giao diện lập trình ứng dụng (API) trên 16 nền tảng Amazon Web Services (AWS) có thể bị tội phạm mạng khai thác nhằm đánh cắp danh tính các thành viên trong các nhóm IT đã tạo ra các nền tảng này.
Jen Miller-Osborn, Phó Giám đốc phụ trách các mối đe dọa tình báo của Unit 42, cho biết tấn công stuffing có thể lợi dụng dữ liệu thông tin xác thực nhằm đánh cắp tài khoản AWS.
Chuyên gia này nhấn mạnh các dịch vụ AWS có thể bị khai thác bao gồm Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) và Amazon Simple Queue Service (SQS). Các nhà nghiên cứu của Unit 42 đã thử nghiệm xâm nhập tài khoản đám mây của khách hàng với hàng nghìn workload bằng cách sử dụng vai trò quản lý quyền truy cập danh tính (IAM) bị cấu hình sai.
Rất khó ngăn chặn phương thức tấn công này vì không có log quan sát trong các tài khoản mục tiêu. Do đó, các nhóm IT cần thực hiện các biện pháp bảo mật như xóa người dùng và vai trò không hoạt động để giảm phạm vi tấn công, thêm chuỗi ngẫu nhiên vào tên người dùng và tên vai trò khiến chúng khó đoán hơn, phối hợp chặt chẽ với nhà cung cấp danh tính để không thể tạo thêm người dùng trong tài khoản AWS, ghi log và giám sát tất cả các hoạt động xác thực danh tính và bật xác thực hai yếu tố (2FA) cho mọi người dùng và vai trò IAM.
Theo nghiên cứu của Unit 42, nguyên nhân của vấn đề bắt nguồn từ thực tế AWS chủ động xác thực tất cả các chính sách dựa trên tài nguyên, thường bao gồm một trường chính xác định danh tính được phép truy cập tài nguyên. Nếu chính sách chứa danh tính không tồn tại, lệnh gọi API tạo hoặc cập nhật chính sách sẽ không thành công và đưa ra thông báo lỗi. Tính năng đó có thể bị lợi dụng để kiểm tra danh tính có tồn tại trong tài khoản AWS hay không.
Ví dụ: tội phạm mạng có thể liên tục gọi các API này với các nguyên tắc khác nhau để liệt kê người dùng và vai trò trong tài khoản được nhắm mục tiêu. Hơn nữa, tài khoản mục tiêu không thể nhận ra hành vi này vì log API và thông báo lỗi chỉ xuất hiện trong tài khoản của kẻ tấn công nơi các chính sách tài nguyên bị thao túng. Do đó, tội phạm mạng thoải mái thực hiện do thám tài khoản AWS mà không lo bị phát hiện. Hiện tại, có 26 dịch vụ AWS hỗ trợ các chính sách dựa trên tài nguyên.
Theo chuyên gia Miller-Osborn, nếu nhóm tạo ra các nền tảng này càng nhất quán về cách xác định dịch vụ và người dùng, thì tội phạm mạng càng dễ phát hiện ra mô hình giúp chúng xác định mục tiêu tiếp theo.
Tất nhiên, tội phạm mạng đang nhắm mục tiêu các nền tảng như AWS vì đây là nơi chứa workload. Khi các workload trên đám mây tăng lên, các tổ chức IT cần phải thích ứng với mô hình bảo mật chia sẻ.
Chuyên gia này nhấn mạnh các dịch vụ AWS có thể bị khai thác bao gồm Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) và Amazon Simple Queue Service (SQS). Các nhà nghiên cứu của Unit 42 đã thử nghiệm xâm nhập tài khoản đám mây của khách hàng với hàng nghìn workload bằng cách sử dụng vai trò quản lý quyền truy cập danh tính (IAM) bị cấu hình sai.
Rất khó ngăn chặn phương thức tấn công này vì không có log quan sát trong các tài khoản mục tiêu. Do đó, các nhóm IT cần thực hiện các biện pháp bảo mật như xóa người dùng và vai trò không hoạt động để giảm phạm vi tấn công, thêm chuỗi ngẫu nhiên vào tên người dùng và tên vai trò khiến chúng khó đoán hơn, phối hợp chặt chẽ với nhà cung cấp danh tính để không thể tạo thêm người dùng trong tài khoản AWS, ghi log và giám sát tất cả các hoạt động xác thực danh tính và bật xác thực hai yếu tố (2FA) cho mọi người dùng và vai trò IAM.
Theo nghiên cứu của Unit 42, nguyên nhân của vấn đề bắt nguồn từ thực tế AWS chủ động xác thực tất cả các chính sách dựa trên tài nguyên, thường bao gồm một trường chính xác định danh tính được phép truy cập tài nguyên. Nếu chính sách chứa danh tính không tồn tại, lệnh gọi API tạo hoặc cập nhật chính sách sẽ không thành công và đưa ra thông báo lỗi. Tính năng đó có thể bị lợi dụng để kiểm tra danh tính có tồn tại trong tài khoản AWS hay không.
Ví dụ: tội phạm mạng có thể liên tục gọi các API này với các nguyên tắc khác nhau để liệt kê người dùng và vai trò trong tài khoản được nhắm mục tiêu. Hơn nữa, tài khoản mục tiêu không thể nhận ra hành vi này vì log API và thông báo lỗi chỉ xuất hiện trong tài khoản của kẻ tấn công nơi các chính sách tài nguyên bị thao túng. Do đó, tội phạm mạng thoải mái thực hiện do thám tài khoản AWS mà không lo bị phát hiện. Hiện tại, có 26 dịch vụ AWS hỗ trợ các chính sách dựa trên tài nguyên.
Theo chuyên gia Miller-Osborn, nếu nhóm tạo ra các nền tảng này càng nhất quán về cách xác định dịch vụ và người dùng, thì tội phạm mạng càng dễ phát hiện ra mô hình giúp chúng xác định mục tiêu tiếp theo.
Tất nhiên, tội phạm mạng đang nhắm mục tiêu các nền tảng như AWS vì đây là nơi chứa workload. Khi các workload trên đám mây tăng lên, các tổ chức IT cần phải thích ứng với mô hình bảo mật chia sẻ.
Theo Securityboulevard