Một kỹ thuật tấn công lưu trữ đám mây quan trọng được gọi là “bucket hijacking” đã được phát hiện. Phương pháp này cho phép kẻ tấn công âm thầm chuyển hướng các luồng dữ liệu đám mây đang hoạt động của tổ chức, bao gồm nhật ký kiểm toán và dữ liệu đo lường (telemetry), vào các thùng chứa (bucket) lưu trữ bên ngoài do kẻ tấn công kiểm soát trên các nền tảng đám mây lớn. Kỹ thuật tấn công mạng này đã được xác nhận ảnh hưởng đến Google Cloud, Amazon Web Services (AWS) và Microsoft Azure. Ba nhà cung cấp này đã được thông báo thông qua quy trình tiết lộ có trách nhiệm. Mặc dù chưa có bằng chứng về việc kẻ tấn công thực tế khai thác kỹ thuật này, các nhà nghiên cứu cảnh báo rằng việc phát hiện sẽ cực kỳ khó khăn sau khi cuộc tấn công hoàn tất.
Nguyên tắc hoạt động của Bucket Hijacking
Cuộc tấn công khai thác một lỗ hổng kiến trúc cơ bản bắt nguồn từ tính duy nhất toàn cầu của tên các thùng chứa lưu trữ đám mây. Do không có hai người dùng nào có thể đăng ký một tên thùng chứa giống hệt nhau trong không gian tên của nhà cung cấp, danh tính của một thùng chứa lưu trữ đích chỉ được liên kết với tên của nó, chứ không phải với một chủ sở hữu tài khoản cụ thể.
Quy trình tấn công
Một kẻ tấn công, sau khi chiếm quyền kiểm soát một môi trường đám mây và có được quyền xóa thùng chứa, có thể thực hiện cuộc tấn công theo một trình tự đơn giản:
- Chiếm quyền kiểm soát thùng chứa đích: Kẻ tấn công xác định một thùng chứa đích được sử dụng để nhận dữ liệu từ một luồng dữ liệu hợp pháp.
- Xóa thùng chứa đích: Sử dụng quyền xóa thùng chứa, kẻ tấn công xóa thùng chứa đích này.
- Tạo lại thùng chứa với tên giống hệt: Ngay lập tức, kẻ tấn công tạo một thùng chứa mới có tên giống hệt với thùng chứa đã bị xóa. Thùng chứa mới này được tạo trong một tài khoản mà kẻ tấn công kiểm soát.
- Chuyển hướng dữ liệu: Do tên thùng chứa là duy nhất toàn cầu, hệ thống đám mây sẽ nhận diện thùng chứa mới của kẻ tấn công là đích hợp pháp cho luồng dữ liệu ban đầu.
Cuộc tấn công này đặc biệt nguy hiểm vì nó có khả năng tự duy trì. Một khi việc chiếm quyền đã hoàn tất, cấu hình đích hoặc cấu hình sao chép hợp pháp vẫn tiếp tục hiển thị là hợp lệ khi kiểm tra, không tạo ra bất kỳ trạng thái lỗi rõ ràng nào và không kích hoạt bất kỳ cảnh báo gốc nào. Nhật ký, số liệu thống kê và dữ liệu đo lường nhạy cảm sẽ âm thầm chảy vào môi trường của kẻ tấn công mà không bị phát hiện.
Mô phỏng và Ảnh hưởng
Nhóm Unit 42 đã mô phỏng thành công kỹ thuật bucket hijacking trên nhiều dịch vụ của từng nhà cung cấp đám mây lớn. Các nhà nghiên cứu nhấn mạnh rằng các vai trò quản trị lưu trữ rộng rãi thường được gán trong môi trường doanh nghiệp làm tăng đáng kể mức độ phơi nhiễm.
Trường hợp trên Google Cloud
Trên Google Cloud, vai trò Storage Admin tiêu chuẩn cấp quyền storage.buckets.delete theo mặc định. Điều này cho phép kẻ tấn công bỏ qua quyền logging.sinks.update hạn chế hơn, vốn cần thiết để cấu hình lại hợp pháp một luồng dữ liệu. Về cơ bản, điều này cho phép kẻ tấn công chuyển hướng các luồng dữ liệu mà không cần chạm trực tiếp vào cấu hình luồng.
Phạm vi ảnh hưởng rộng lớn
Kỹ thuật này không chỉ giới hạn ở ba nhà cung cấp đã thử nghiệm. Bất kỳ nền tảng đám mây nào dựa vào tài nguyên lưu trữ có tên tĩnh, duy nhất toàn cầu cho việc định tuyến luồng dữ liệu đều có thể dễ bị tổn thương trước phương pháp tương tự. Việc các nhà cung cấp đám mây chia sẻ các triết lý thiết kế chung có nghĩa là một lỗ hổng được phát hiện trong một hệ sinh thái có thể trở thành bản thiết kế trực tiếp để khai thác một hệ sinh thái khác. Đây là một lời nhắc nhở quan trọng đối với các nhóm bảo mật quản lý môi trường đa đám mây.
Biện pháp phòng ngừa và Giám sát
Unit 42 khuyến nghị một chiến lược phòng thủ hai mũi nhọn kết hợp kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu và giám sát chủ động để giảm thiểu rủi ro bảo mật liên quan đến tấn công mạng này.
Kiểm soát truy cập Đặc quyền Tối thiểu
Cần đảm bảo rằng các vai trò và quyền truy cập được cấp cho người dùng và dịch vụ chỉ giới hạn ở những gì cần thiết để thực hiện nhiệm vụ của họ. Xem xét kỹ lưỡng các vai trò quản trị lưu trữ và các quyền liên quan, đặc biệt là quyền buckets.delete. Tách biệt các quyền quản trị dữ liệu và quản trị cấu hình luồng dữ liệu.
Giám sát Chủ động
Thiết lập giám sát và cảnh báo cho các hoạt động bất thường liên quan đến quản lý thùng chứa, đặc biệt là việc xóa và tạo thùng chứa mới. Theo dõi các thay đổi cấu hình trong các dịch vụ ghi nhật ký và đo lường. Cần có khả năng phát hiện sớm các hành vi đáng ngờ, giúp ngăn chặn cuộc tấn công mạng trước khi nó gây ra thiệt hại nghiêm trọng. Việc theo dõi log từ các dịch vụ đám mây là rất quan trọng để có thể phát hiện xâm nhập.
Nghiên cứu về lỗ hổng CVE này nhấn mạnh tầm quan trọng của việc hiểu sâu về kiến trúc đám mây và các cơ chế quản lý quyền. Việc cập nhật bản vá và áp dụng các biện pháp bảo mật phù hợp là cần thiết để bảo vệ hệ thống khỏi các mối đe dọa ngày càng tinh vi.
Tham khảo chi tiết về các rủi ro bảo mật và cách phòng tránh có thể tìm thấy trên các trang uy tín như CISA.
