Các chuyên gia bảo mật đã tiến hành một cuộc điều tra kỹ lưỡng, phát hiện ra các điểm yếu bảo mật nghiêm trọng trong kiến trúc Quản lý Truy cập Dựa trên Vai trò (RBAC) của Microsoft Azure.
Azure RBAC là xương sống của việc quản lý quyền trong nền tảng đám mây Azure, cho phép các quản trị viên gán vai trò cho người dùng, nhóm hoặc principal dịch vụ với các quyền được xác định trước ở các phạm vi khác nhau, từ toàn bộ đăng ký (subscription) đến các tài nguyên cụ thể.
Các Vai Trò Được Gán Quyền Quá Mức trong Azure RBAC
Cuộc điều tra đã chỉ ra rằng một số vai trò tích hợp (built-in roles) được thiết kế để cung cấp quyền truy cập giới hạn, dành riêng cho dịch vụ, lại bị cấu hình sai với các đặc quyền quá mức. Các vai trò này được cấp quyền rộng hơn đáng kể so với mô tả của chúng, tiềm ẩn rủi ro bảo mật nghiêm trọng.
Mô Tả Vấn Đề
Tổng cộng có 10 vai trò được xác định, bao gồm Managed Applications Reader và Log Analytics Reader, được cấp quyền */read quá rộng. Quyền này trên thực tế phản ánh chức năng của vai trò Reader chung, cho phép truy cập vào siêu dữ liệu nhạy cảm trên tất cả các tài nguyên Azure.
Việc cấp quyền */read một cách không giới hạn này vượt xa những gì mô tả của các vai trò này gợi ý. Ví dụ, một vai trò được cho là chỉ đọc dữ liệu nhật ký (Log Analytics Reader) lại có thể đọc thông tin cấu hình của các tài nguyên khác trên toàn bộ subscription.
Tác Động Tiềm Ẩn
Quyền truy cập quá mức này có thể tạo điều kiện cho kẻ tấn công thực hiện một loạt các hành vi độc hại, bao gồm:
- Trích xuất thông tin xác thực: Kẻ tấn công có thể truy cập các tài khoản tự động hóa (automation accounts) để lấy ra các thông tin đăng nhập hoặc khóa API được lưu trữ.
- Ánh xạ cấu hình mạng: Khả năng đọc toàn bộ siêu dữ liệu cho phép kẻ tấn công lập bản đồ chi tiết cấu hình mạng, bao gồm các mạng ảo (VNets), nhóm bảo mật mạng (NSGs), định tuyến và các kết nối, tạo nền tảng cho việc lập kế hoạch tấn công hoặc di chuyển ngang (lateral movement).
- Khám phá dữ liệu quan trọng: Truy cập vào các tài khoản lưu trữ (storage accounts) hoặc các kho lưu trữ sao lưu (backup vaults) để phát hiện và truy xuất dữ liệu nhạy cảm mà không cần quyền truy cập trực tiếp vào nội dung dữ liệu. Điều này có thể bao gồm các khóa mã hóa, thông tin cá nhân hoặc dữ liệu kinh doanh quan trọng.
Những khả năng này tạo ra một “mảnh đất màu mỡ” cho việc leo thang đặc quyền (privilege escalation) và lập kế hoạch tấn công sâu rộng hơn trong môi trường Azure.
Phản Ứng của Microsoft
Khi được tiết lộ, Microsoft đã phân loại vấn đề các vai trò được cấp quyền quá mức này là mức độ “thấp” (low severity). Thay vì hạn chế quyền của các vai trò, Microsoft đã chọn cập nhật tài liệu mô tả, để lại các tổ chức có nguy cơ bị lạm dụng tiềm ẩn.
Lỗ Hổng Rò Rỉ Khóa Chia Sẻ VPN Gateway (PSK)
Nghiên cứu còn phát hiện một lỗ hổng nghiêm trọng khác trong API của Azure, cho phép rò rỉ khóa chia sẻ trước (Pre-Shared Keys – PSKs) của VPN Gateway chỉ với các quyền đọc.
Mô Tả Lỗ Hổng
Thông thường, Azure thực thi các quyền thông qua sự phân biệt phương thức HTTP: các hoạt động chỉ đọc sử dụng phương thức GET, trong khi các hoạt động truy xuất dữ liệu nhạy cảm được bảo vệ bằng các yêu cầu POST để ngăn chặn truy cập trái phép. Tuy nhiên, một sơ suất trong thiết kế API đã dẫn đến việc truy xuất khóa chia sẻ kết nối VPN được triển khai dưới dạng yêu cầu GET, bỏ qua các biện pháp kiểm soát bảo mật dự kiến.
Cơ Chế Khai Thác và Tác Động
Lỗ hổng này cho phép kẻ tấn công với quyền truy cập đọc tối thiểu, thường được có được thông qua các vai trò được cấp quyền quá mức đã đề cập, có thể truy xuất PSK cho các kết nối VPN Site-to-Site (S2S).
Với khóa PSK trong tay, một tác nhân độc hại có thể thiết lập một kết nối VPN bất hợp pháp (rogue connection). Điều này mang lại khả năng truy cập trái phép vào các tài sản đám mây nội bộ, các đám mây riêng ảo (VPCs), và thậm chí cả các mạng on-premises được liên kết thông qua Azure VPN Gateway. Lỗ hổng này biến một quyền đọc dường như vô hại thành một cửa ngõ cho việc xâm nhập mạng sâu rộng, đặc biệt là trong các môi trường lai (hybrid environments) nơi hệ thống đám mây và on-premises giao thoa.
Phản Ứng của Microsoft
Ngược lại với vấn đề vai trò, lỗ hổng rò rỉ PSK của VPN được đánh giá là “Quan trọng” (Important). Microsoft đã nhanh chóng đưa ra bản sửa lỗi bằng cách yêu cầu một quyền cụ thể (Microsoft.Network/connections/sharedKey/action) để truy cập khóa. Ngoài ra, một khoản tiền thưởng $7,500 đã được trao cho nhà nghiên cứu đã phát hiện ra lỗ hổng này.
Hành Động Khai Thác Tiềm Năng và Tác Động Tổng Thể
Sự kết hợp giữa các vai trò được cấp quyền quá mức và lỗ hổng rò rỉ PSK tạo ra một kịch bản tấn công nguy hiểm. Kẻ tấn công có thể bắt đầu với việc giành được quyền đọc thông thường thông qua một trong 10 vai trò bị cấu hình sai. Sau đó, sử dụng quyền đọc này để đọc PSK của VPN Gateway. Với PSK, kẻ tấn công có thể thiết lập một kết nối VPN riêng, qua đó truy cập sâu vào các mạng nội bộ.
Các loại dữ liệu nhạy cảm hoặc tài nguyên có thể bị truy cập bao gồm:
- Cơ sở dữ liệu chứa thông tin khách hàng, dữ liệu tài chính hoặc sở hữu trí tuệ.
- Máy chủ ứng dụng nội bộ, cho phép di chuyển ngang và thực hiện các cuộc tấn công leo thang.
- Hệ thống quản lý định danh như Active Directory, có thể dẫn đến việc kiểm soát hoàn toàn miền.
- Các thiết bị mạng và cấu hình bảo mật, cho phép kẻ tấn công thay đổi quy tắc tường lửa hoặc định tuyến để duy trì quyền truy cập hoặc thực hiện các cuộc tấn công từ chối dịch vụ.
Kịch bản này minh họa cách một quyền tưởng chừng vô hại như quyền đọc có thể bị lạm dụng để đạt được quyền truy cập sâu vào cơ sở hạ tầng quan trọng, đặc biệt là trong các kiến trúc đám mây phức tạp.
Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo Mật
Để bảo vệ tổ chức khỏi những mối đe dọa này, các doanh nghiệp phải chủ động kiểm toán và hạn chế việc sử dụng các vai trò được cấp quyền quá mức đã xác định. Thay thế chúng bằng các vai trò tùy chỉnh (custom roles) được điều chỉnh theo nguyên tắc quyền tối thiểu cần thiết (least privilege).
Kiểm Toán và Tùy Chỉnh Vai Trò
Thực hiện kiểm toán định kỳ để xác định các vai trò tích hợp có quyền */read rộng, đặc biệt là Managed Applications Reader và Log Analytics Reader, cùng 8 vai trò khác có đặc tính tương tự. Đối với các tài khoản hoặc principal dịch vụ đang sử dụng các vai trò này, hãy đánh giá lại và tạo các vai trò tùy chỉnh (custom roles) với các quyền được giới hạn nghiêm ngặt chỉ cho các tài nguyên hoặc hoạt động cụ thể mà chúng cần thực hiện.
Ví dụ, thay vì sử dụng Log Analytics Reader có quyền đọc trên toàn bộ subscription, hãy tạo một vai trò tùy chỉnh chỉ cho phép đọc nhật ký từ một không gian làm việc Log Analytics cụ thể hoặc chỉ cho một loại tài nguyên nhất định.
Giới Hạn Phạm Vi Vai Trò
Giới hạn phạm vi của các vai trò chỉ cho các tài nguyên hoặc nhóm tài nguyên cụ thể, thay vì cấp quyền trên toàn bộ subscription, sẽ giảm thiểu đáng kể rủi ro. Việc cấp quyền ở phạm vi thấp nhất có thể (ví dụ: một nhóm tài nguyên chứa các máy ảo cụ thể, thay vì toàn bộ subscription) sẽ giúp cô lập các tác động của việc lạm dụng quyền.
Giám Sát và Xác Thực Quyền Liên Tục
Do bảo mật đám mây vẫn là một trách nhiệm chia sẻ giữa nhà cung cấp dịch vụ và người dùng, sự cố này nhấn mạnh sự cần thiết của việc cảnh giác. Việc tin tưởng mù quáng vào các công cụ của nhà cung cấp có thể dẫn đến các vi phạm nghiêm trọng.
Để có được sự bảo vệ mạnh mẽ, việc giám sát liên tục và xác thực các quyền là điều cần thiết để ngăn chặn các cuộc tấn công dựa trên định danh trong môi trường Azure. Sử dụng các công cụ Azure Security Center, Azure Monitor và Azure AD Identity Protection để theo dõi hoạt động bất thường, kiểm tra cấu hình quyền và phát hiện các nỗ lực leo thang đặc quyền.
Triển khai các chính sách truy cập có điều kiện (Conditional Access Policies) và xác thực đa yếu tố (MFA) cho tất cả các tài khoản truy cập Azure, đặc biệt là các tài khoản quản trị, để thêm một lớp bảo vệ chống lại việc chiếm đoạt thông tin xác thực.
Việc liên tục rà soát các chính sách RBAC và đảm bảo chúng tuân thủ nguyên tắc quyền tối thiểu là yếu tố then chốt để duy trì một tư thế bảo mật vững chắc trong môi trường đám mây động như Azure.
