Các chuyên gia phát hiện các lỗ hổng nghiêm trọng của AWS dẫn đến RCE

Tác giả ChatGPT, T.Tám 10, 2024, 01:45:53 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra nhiều lỗ hổng nghiêm trọng trong các dịch vụ của Amazon Web Services (AWS) mà nếu khai thác thành công có thể gây ra hậu quả nghiêm trọng.

Công ty bảo mật đám mây Aqua cho biết: "Tác động của các lỗ hổng này bao gồm thực thi mã từ xa (RCE), chiếm đoạt toàn bộ dịch vụ của người dùng (có thể cung cấp quyền truy cập quản trị mạnh mẽ), thao túng các mô-đun AI, làm lộ dữ liệu nhạy cảm, lọc dữ liệu và từ chối dịch vụ". cho biết trong một báo cáo chi tiết được chia sẻ với The Hacker News.


Sau khi công bố có trách nhiệm vào tháng 2 năm 2024, Amazon đã giải quyết những thiếu sót trong vài tháng từ tháng 3 đến tháng 6. Những phát hiện này đã được trình bày tại Black Hat USA 2024.

Trọng tâm của vấn đề, được gọi là Bucket Monopoly, là một vectơ tấn công được gọi là Shadow Resource, trong trường hợp này đề cập đến việc tự động tạo nhóm AWS S3 khi sử dụng các dịch vụ như CloudFormation, Glue, EMR, SageMaker, ServiceCatalog và CodeStar.

Tên nhóm S3 được tạo theo cách này vừa độc đáo vừa tuân theo quy ước đặt tên được xác định trước ("cf-templates-{Hash}-{Region}"). Kẻ tấn công có thể lợi dụng hành vi này để thiết lập các vùng lưu trữ ở những vùng AWS không sử dụng và chờ đợi khách hàng AWS hợp pháp sử dụng một trong các dịch vụ dễ bị ảnh hưởng để có được quyền truy cập bí mật vào nội dung của vùng lưu trữ S3.

Dựa trên các quyền được cấp cho bộ chứa S3 do đối thủ kiểm soát, phương pháp này có thể được sử dụng để nâng cấp nhằm kích hoạt điều kiện DoS hoặc thực thi mã, thao túng hoặc đánh cắp dữ liệu và thậm chí giành toàn quyền kiểm soát tài khoản nạn nhân mà người dùng không hề hay biết.

Để tối đa hóa cơ hội thành công, bằng cách sử dụng Bucket Monopoly, kẻ tấn công có thể tạo trước các nhóm không có người nhận ở tất cả các khu vực có sẵn và lưu trữ mã độc trong nhóm. Khi tổ chức được nhắm mục tiêu lần đầu tiên kích hoạt một trong những dịch vụ dễ bị tấn công ở một khu vực mới, mã độc sẽ vô tình được thực thi, có khả năng tạo ra một người dùng quản trị có thể cấp quyền kiểm soát cho những kẻ tấn công.


Tuy nhiên, điều quan trọng cần lưu ý là kẻ tấn công sẽ phải đợi nạn nhân triển khai ngăn xếp CloudFormation mới ở khu vực mới lần đầu tiên để thực hiện cuộc tấn công thành công. Việc sửa đổi tệp mẫu CloudFormation trong nhóm S3 để tạo người dùng quản trị viên lừa đảo cũng tùy thuộc vào việc tài khoản nạn nhân có quyền quản lý vai trò IAM hay không.



Aqua cho biết họ đã tìm thấy 5 dịch vụ AWS khác dựa trên phương pháp đặt tên tương tự cho nhóm S3 – {Service Prefix}-{AWS Account ID}-{Region} – do đó khiến chúng dễ bị tấn công Shadow Resource và cuối cùng cho phép kẻ đe dọa leo thang đặc quyền và thực hiện các hành động độc hại, bao gồm DoS, tiết lộ thông tin, thao túng dữ liệu và thực thi mã tùy ý:

  • AWS Glue: aws-glue-asset-{Account-ID}-{Region}
  • AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region}
  • AWS SageMaker: sagemaker-{Region}-{Account-ID}
  • AWS CodeStar: aws-codestar-{Region}-{Account-ID}
  • Danh mục dịch vụ AWS: cf-templates-{Hash}-{Region}

Công ty cũng lưu ý rằng ID tài khoản AWS phải được coi là bí mật, trái ngược với những gì Amazon nêu trong tài liệu của mình, vì chúng có thể được sử dụng để thực hiện các cuộc tấn công tương tự.

Aqua cho biết: "Véc tơ tấn công này không chỉ ảnh hưởng đến các dịch vụ AWS mà còn ảnh hưởng đến nhiều dự án nguồn mở được các tổ chức sử dụng để triển khai tài nguyên trong môi trường AWS của họ". "Nhiều dự án nguồn mở tự động tạo bộ chứa S3 như một phần chức năng của chúng hoặc hướng dẫn người dùng triển khai bộ chứa S3."

"Thay vì sử dụng mã định danh tĩnh hoặc có thể dự đoán được trong tên nhóm, bạn nên tạo một hàm băm duy nhất hoặc mã định danh ngẫu nhiên cho từng vùng và tài khoản, kết hợp giá trị này vào tên nhóm S3. Cách tiếp cận này giúp bảo vệ chống lại những kẻ tấn công yêu cầu nhóm của bạn sớm."