Chi tiết về Whoami Attack: Thực thi mã từ xa trên Amazon EC2

Đinh Văn MạnhĐinh Văn Mạnh
6 min read

Trong thế giới bảo mật đám mây, các lỗ hổng liên quan đến cấu hình sai hoặc quản lý yếu kém thường là mục tiêu hàng đầu của tin tặc. Mới đây, một lỗ hổng nghiêm trọng trong dịch vụ Amazon EC2 của AWS đã được phát hiện, cho phép kẻ tấn công thực thi mã từ xa (RCE) trên các máy ảo (instances) thông qua kỹ thuật được gọi là "Whoami Attack".

Whoami Attack là gì?

Whoami Attack là một phương pháp tấn công khai thác lỗ hổng trong cơ chế quản lý metadata của Amazon EC2. Metadata là thông tin về máy ảo, bao gồm các chi tiết như ID instance, vùng đặt máy (region), và thậm chí là thông tin về IAM roles (Identity and Access Management). Thông thường, metadata này có thể được truy cập từ bên trong instance thông qua một địa chỉ IP cục bộ.

Tuy nhiên, nếu metadata service không được cấu hình đúng cách, kẻ tấn công có thể lợi dụng để truy cập thông tin nhạy cảm, chẳng hạn như credentials của IAM roles. Điều này có thể dẫn đến việc leo thang đặc quyền và thực thi mã từ xa trên instance.

Chuỗi Tấn Công WhoAMI

  1. Kẻ tấn công tạo AMI công khai độc hại:

    • Kẻ tấn công tạo một Amazon Machine Image (AMI) độc hại và đặt tên tương tự với AMI hợp lệ, nhằm tạo sự nhầm lẫn.

  2. Kẻ tấn công xuất bản AMI công khai:

    • Kẻ tấn công xuất bản AMI lên chợ AWS, làm cho AMI này có thể được công khai tìm thấy bởi bất kỳ ai tìm kiếm.

  3. Nạn nhân tìm kiếm AMI:

    • Nạn nhân tìm kiếm AMI thông qua API ec2:DescribeImages mà không chỉ định thuộc tính "owners".

  4. Lựa chọn AMI độc hại:

    • API trả về danh sách các AMI phù hợp, bao gồm cả AMI độc hại. Nạn nhân vô tình chọn AMI độc hại mà không biết.

  5. Khởi tạo instance EC2 từ AMI:

    • Nạn nhân sử dụng AMI độc hại để khởi tạo một instance Elastic Compute Cloud (EC2) trong tài khoản của mình.

  6. EC2 thực thi mã độc:

    • Sau khi instance EC2 khởi chạy, mã độc trong AMI được thực thi, cho phép kẻ tấn công thực thi mã từ xa (RCE) trong môi trường của nạn nhân.

  7. Kết nối ngược tới kẻ tấn công:

    • Instance EC2 khởi tạo kết nối ngược tới máy chủ điều khiển của kẻ tấn công, cung cấp quyền truy cập vào hệ thống của nạn nhân.

  8. Thực hiện các hành động sau tấn công:

    • Kẻ tấn công thực hiện các hành động sau tấn công, như truy cập dữ liệu, thay đổi cấu hình hệ thống, hoặc thực hiện các hoạt động khác trong môi trường của nạn nhân.

Tác động của Whoami Attack

Lỗ hổng này có thể dẫn đến những hậu quả nghiêm trọng, bao gồm:

  • Rò rỉ dữ liệu nhạy cảm: Kẻ tấn công có thể truy cập vào các thông tin nhạy cảm được lưu trữ trên instance hoặc trong các dịch vụ khác của AWS.

  • Kiểm soát tài khoản AWS: Nếu credentials bị lộ, kẻ tấn công có thể thực hiện các hành động phá hoại hoặc đánh cắp dữ liệu trên toàn bộ tài khoản AWS.

  • Gián đoạn dịch vụ: Việc thực thi mã độc có thể làm gián đoạn hoạt động của các dịch vụ đang chạy trên instance.

Cách phòng chống

Để giảm thiểu rủi ro từ Whoami Attack, các tổ chức sử dụng AWS EC2 nên thực hiện các biện pháp sau:

  1. Hạn chế quyền truy cập metadata: Sử dụng tính năng Instance Metadata Service Version 2 (IMDSv2) của AWS, yêu cầu xác thực token để truy cập metadata.

  2. Giới hạn IAM roles: Chỉ gán các IAM roles với quyền hạn tối thiểu cần thiết cho instance.

  3. Theo dõi và kiểm tra hoạt động: Sử dụng các công cụ như AWS CloudTrail để theo dõi các hoạt động bất thường trong tài khoản AWS.

  4. Cập nhật và vá lỗi: Đảm bảo rằng các instance luôn được cập nhật các bản vá bảo mật mới nhất.

Phản ứng của Amazon

AWS tuyên bố rằng lỗ hổng này không bị khai thác ngoài các thử nghiệm của các nhà nghiên cứu bảo mật, do đó không có dữ liệu khách hàng nào bị xâm phạm qua các cuộc tấn công WhoAMI.

Amazon khuyến cáo người dùng luôn chỉ định chủ sở hữu AMI khi sử dụng API "ec2:DescribeImages" và kích hoạt tính năng 'Allowed AMIs' để tăng cường bảo vệ.

  • Tính năng mới này có sẵn thông qua AWS Console → EC2 → Account Attributes → Allowed AMIs.

Bắt đầu từ tháng 11 năm ngoái, Terraform phiên bản 5.77 đã bắt đầu cảnh báo người dùng khi sử dụng "most_recent = true" mà không có bộ lọc chủ sở hữu, với việc thực thi nghiêm ngặt hơn được lên kế hoạch cho các phiên bản tương lai (6.0).

Các quản trị viên hệ thống phải kiểm tra và cập nhật cấu hình mã của họ trên các nguồn AMI (Terraform, AWS CLI, Python Boto3, và Go AWS SDK) để đảm bảo truy xuất AMI an toàn.

  • Để kiểm tra xem AMI không tin cậy có đang được sử dụng hay không, hãy bật Chế độ Kiểm toán AWS thông qua 'Allowed AMIs' và chuyển sang 'Chế độ Thực thi' để chặn chúng.

Kết luận

Vấn đề này đã được khắc phục vào ngày 19 tháng 9 năm ngoái, và vào ngày 1 tháng 12, AWS đã giới thiệu một biện pháp kiểm soát bảo mật mới có tên là 'Allowed AMIs', cho phép khách hàng tạo danh sách cho phép các nhà cung cấp AMI tin cậy.

AWS tuyên bố rằng lỗ hổng này không bị khai thác ngoài các thử nghiệm của các nhà nghiên cứu bảo mật, do đó không có dữ liệu khách hàng nào bị xâm phạm qua các cuộc tấn công WhoAMI.

Whoami Attack là một lỗ hổng nghiêm trọng nhắc nhở các tổ chức về tầm quan trọng của việc cấu hình và quản lý bảo mật trong môi trường đám mây. Với sự phức tạp ngày càng tăng của các dịch vụ đám mây, việc hiểu rõ và áp dụng các biện pháp bảo mật phù hợp là điều cần thiết để bảo vệ dữ liệu và tài nguyên khỏi các mối đe dọa tiềm ẩn.

Tham khảo

  1. whoAMI attack could allow remote code execution within AWS account

  2. whoAMI attacks give hackers code execution on Amazon EC2 instances

0
Subscribe to my newsletter

Read articles from Đinh Văn Mạnh directly inside your inbox. Subscribe to the newsletter, and don't miss out.

whomai-attackthreat intelligenceAWS

Written by

Đinh Văn Mạnh
Đinh Văn Mạnh