3 phương thức tấn công nhắm vào đám mây phổ biến nhất hiện nay

Theo thống kê của tổ chức bảo mật CSO, có đến hơn 80% tổ chức, doanh nghiệp đã và đang sử dụng dịch vụ từ 2 hoặc nhiều nhà cung cấp cơ sở hạ tầng đám mây công cộng, và gần 2/3 trong số đó đang sử dụng dịch vụ của từ 3 nhà cung cấp trở lên.

Chuyển đổi sang môi trường đám mây đã và đang là xu hướng số hóa trên quy mô toàn cầu. Thế nhưng bên cạnh những lợi ích rõ ràng, các tổ chức cũng đồng thời phải đổi mặt với nguy cơ trở thành nạn nhân của các vụ vi phạm dữ liệu, tấn công bằng phần mềm độc hại và nhiều rủi ro bảo mật khác.

Cả năng bảo mật của các nền tảng mây ngày càng trở nên hoàn thiện hơn, tuy nhiên không phải là không có lỗ hổng. Đơn cử như vụ tấn công “Cloud Snooper” mới diễn ra gần đây, sử dụng rootkit để đẩy lưu lượng truy cập độc hại thông qua một khách hàng AWS, vượt qua hệ thống tường lửa của nền tảng đám mây này trước khi phát tán trojan truy cập từ xa trên nền tảng.

Vậy có những phương thức nào để hacker có thể khai thác các lỗ hổng trên đám mây và tiếp cận với dữ liệu của tổ chức, doanh nghiệp?

Tấn công API

Rò rỉ thông tin xác thực API hoặc API bị định cấu hình sai là một trong những lỗ hổng phổ biến mở đường cho hacker xâm nhập vào các nền tảng đám mây. Khi kẻ tấn công có được một trong các khóa truy cập, chúng sẽ sử dụng nó chiếm truy cập và kiểm soát một phần máy chủ, sau đó thực hiện lệnh gọi API đối với các hoạt động độc hại hoặc leo thang đặc quyền hệ thống. Thông thường, các khóa được sẽ được rò rỉ/chia sẻ thông qua GitHub, BitBucket… dưới dạng hình ảnh được chia sẻ và ảnh chụp nhanh.

Vụ rò rỉ dữ liệu gần đây ảnh hưởng tới hơn 6,5 triệu công dân Israel là ví dụ điển hình về hình thức tấn công này.

Việc để lộ khóa API cũng có thể là một sai sót của các nhà phát triển như đã xảy ra với Starbuck. Nếu khóa API bị lộ và rơi vào tay hacker, chúng sẽ có quyền truy cập vào các hệ thống nội bộ và thao túng danh sách người dùng được ủy quyền.

Sự cố rò rỉ API lớn nhất được ghi nhận vào tháng 3 năm 2019, khi một nhóm các nhà nghiên cứu bảo mật phát hiện ra 100.000 kho lưu trữ GitHub bị rò rỉ token API và khóa mật mã, có thể truy cập tự do trong khoảng thời gian 6 tháng, gây thiệt hại nặng nề cho các tổ chức có liên quan.

Cấu hình sai

Cơ sở dữ liệu và máy chủ bị định cấu hình sai là một trong những nguyên nhân phổ biến đằng sau không ít thảm họa bảo mật đám mây.

Tài nguyên dựa trên điện toán đám mây rất phức tạp và thay đổi liên tục, khiến người quản lý hệ thống gặp khó khăn khi cấu hình. Hacker, đặc biệt là các những nhóm được tài trợ, luôn nhắm vào lỗ hổng cấu hình sai trên các máy chủ đám mây để triển khai ransomware và backdoor nhằm khai thác tiền điện tử hoặc đánh cắp dữ liệu nhạy cảm. Một số máy chủ đám mây lớn đã từng trở thành nạn nhân của hình thức tấn công này bao gồm máy chủ WebLogic của Oracle, Atlassian Confluence và máy chủ email Microsoft Exchange.

Giả mạo yêu cầu phía máy chủ (SSRF)

SSRF (Server Side Request Forgery) - giả mạo yêu cầu từ phía máy chủ - là một hình thức tấn công cho phép hacker thay đổi tham số được sử dụng trên ứng dụng web để tạo hoặc kiểm soát các yêu cầu từ máy chủ dễ bị tấn công.

SSRF là hình thức tấn công có xu hướng nở rộ trong thời gian gần đây, liên quan thực tiếp đến quyền truy cập cấu hình, nhật ký, thông tin đăng nhập và nhiều loại dữ liệu khác trong cơ sở hạ tầng đám mây.

Vụ vi phạm dữ liệu với quy mô cực lớn xảy gần đây nhắm vào tổ chức Capital One cho thấy tiềm năng và mức độ rủi ro của SSRF. Những kẻ tấn công đã triển khai thành công một chiến dịch SSRF quy mô lớn để chiếm đoạn thông tin xác thực AWS, sau đó sử dụng dữ liệu này đánh cắp thông tin cá nhân của hơn 100 triệu khách hàng Capital One.