Máy chủ của Amazon AWS sẽ sớm dính mã độc tống tiền, tương tự như MongoDB

Máy chủ dịch vụ lưu trữ đám mây Amazon AWS S3 có thể sớm trở thành nạn nhân của mã độc, tương tự như cách mà hacker đã giữ nhiều cơ sở dữ liệu trên MongoDB để tống tiền trong năm 2017.

Được chuyên gia bảo mật thông tin Kevin Beaumont nhận định nhưng đây không phải một lời tiên tri vô căn cứ mà được rất nhiều chuyên gia bảo mật khác chia sẻ.

Amazon AWS S3 cũng đã từng rò rỉ dữ liệu

Dữ liệu trên Amazon AWS S3 đã rò rỉ suốt năm, dù vì các vụ khác mà trở nên hơi mờ nhạt. Nguyên nhân là do các công ty để dữ liệu trên các “bucket” (là một thuật ngữ được sử dụng để mô tả một đơn vị lưu trữ S3) S3 ai cũng đọc và tải dữ liệu được. Thông thường dữ liệu này được các nhà nghiên cứu an ninh bảo đảm an toàn cho hệ thống truy cập nhưng hacker cũng có thể lấy được.

Còn có các bucket S3 nguy hiểm hơn đó là các bucket ai cũng viết được, cho phép bất kì ai viết, xóa dữ liệu mà không cần có tài khoản Amazon S3. Báo cáo từ Skyhigh Network vào 9/2017 cho biết 7% bucket trên Amazon AWS S3 là thuộc dạng ai cũng viết được.

AWS S3 sẽ đi theo con đường của “MongoDB và những người bạn”

Các chuyên gia cho rằng những hacker đang nắm giữ máy chủ MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra và MySQL để tống tiền trong năm 2017 sẽ sớm để mắt tới các bucket ai cũng viết được của S3.

Các vụ tấn công tống tiền trong năm 2017 đều theo một công thức như nhau. Hacker tìm ra máy chủ có lỗ hổng, quét sạch dữ liệu, để lại ghi chú đòi tiền. Có nạn nhân trả tiền để chuộc nhưng hầu hết đều phải bỏ cuộc vì hacker không có nơi lưu trữ sao lưu tất cả máy chủ nên không thể trả lại dữ liệu đã lấy.

Chuyện tương tự có thể sẽ xảy ra với chủ sở hữu của các máy chủ Amazon S3. Nhà nghiên cứu Dylan Katz cho rằng dữ liệu trên S3 sẽ bị xóa sạch chứ không phải được giữ lại vì các bucket S3 chứa rất nhiều dữ liệu mà kẻ tấn công không thể chứa được hết.

Về mặt kỹ thuật, tấn công tống tiền AWS S3 là hoàn toàn có thể

Vấn đề nằm ở chỗ nhiều chủ tài khoản AWS S3 cấu hình nhầm cho máy chủ để ai cũng có quyền viết. “S3 cũng như ngôn ngữ C. Có rất nhiều cách để một chuyện tồi tệ xảy ra”. Nhà nghiên cứu Mike Gualtieri nói. Mike còn tạo kịch bản PoC chứng minh có thể lợi dụng máy chủ để khiến nạn nhân tin rằng dữ liệu của họ đã bị mã hóa.

Các nhà nghiên cứu đã cảnh báo hàng tháng

Kịch bản nói trên khiến nhiều nhà nghiên cứu an ninh lo sợ. Một trong số đó là Robbit Wiggins khi đã tìm các bucket S3 ai cũng viết được và để lại tập tin cảnh báo cho người sở hữu máy chủ đó nhiều tháng qua.

Cảnh báo cho chủ nhân của máy chủ S3

Nhưng Wiggins tìm được hàng ngàn máy chủ như vậy. Trên một dòng tweet, anh cho biết đã cảnh báo 5260 bucket Amazon AWS S3. Wiggins cũng không phải người duy nhất làm việc này, cũng có những người vô danh để lại cảnh báo như vậy.

Việc tìm ra AWS S3 cũng không quá dễ

So với hàng chục ngàn máy chủ MongoDB thì số lượng các bucket ai cũng viết được của S3 ít hơn nhiều.

Về mặt kỹ thuật cũng khó khăn hơn vì để tìm máy chủ của MongoDB, Hadoop hay ElasticSearch thì chỉ cần quét địa chỉ IPv4 trên một số cổng. Nhưng bucket của S3 lại dùng tên dài nên tỉ lệ quét tìm khi truy vấn cũng thấp hơn.

Những giới hạn này khiến hacker còn chưa đụng tới S3 nhưng không phải là không làm được với kiểu tấn công từ điển.

Máy chủ AWS S3 chứa nhiều dữ liệu nhạy cảm

Theo Victor Gevers, nhà nghiên cứu và cũng là chủ tịch GDI Foundation, các bucket của S3 chứa nhiều dữ liệu nhạy cảm mà kẻ tấn công sẽ rất hứng thú như tài sản trí tuệ, thiết kế, tập tin sao lưu, key, ví điện tử Bitcoin…

Cũng như Wiggins, Gevers cũng tìm các máy chủ bị cấu hình nhầm nhưng không phải các bucket viết được mà chỉ là các bucket đọc được. Theo đó Gevers đã tìm và báo cáo 529 máy chủ, trong đó chỉ 109 là khắc phục nhanh chóng.

Biến thể mã độc mới đang xuất hiện

Theo Gevers, máy chủ AWS S3 cũng không cần phải viết được mới tống tiền được. Gevers cho rằng sẽ có kiểu mã độc khác tấn công từ ngày 25/5 năm nay, ngày có hiệu lực EU GDPR (tiêu chuẩn bảo vệ dữ liệu theo đó doanh nghiệp lưu trữ dữ liệu cá nhân phải được sự chấp thuận của cá nhân đó).

Kẻ tấn công chỉ cần chụp lại máy chủ, liên hệ công ty sau ngày 25/5 và đòi tiền chuộc, nếu không sẽ báo với nhà chức trách và công ty sẽ bị phạt.

“Tìm trên Shodan hay công cụ tìm kiếm của bucket S3 sẽ cho kết quả nhanh, bạn chỉ cần từ khóa thôi”, Gevers nói. Các công cụ có sẵn như Public CLoud Storage Search hay BuckHacker sẽ khiến việc này dễ như trò trẻ con.

Amazon cũng đã cảnh báo khách hàng

Amaxon không phải không biết về những điều này. Họ đã gửi thông báo tới tất cả khách hàng có truy cập bucket S3 trong năm ngoái và còn cảnh báo trên cả bảng điều khiển backend của AWS. Từ đó, số các bucket S3 dễ bị tấn công cũng đã giảm đáng kể.

Dù vậy thì các bucket trên Amazon AWS S3 cũng không còn nhiều thời gian để bảo mật nữa. Ai đang sở hữu máy chủ nên mau chóng hành động trước khi dữ liệu của mình bị đánh cắp hoặc mất vĩnh viễn.

Amazon đã trao quyền truy cập miễn phí cho tất cả khách hàng AWS vào AWS Trusted Advisor S3 Bucket Permissions Check. Đây là công cụ giúp kiểm tra xem bucket S3 có chạy đúng tiêu chuẩn hay không. Ngoài ra còn có S3 Inspector. https://github.com/kromtech/s3-inspector

Xem thêm:

• AWS và Azure thống trị thế giới đám mây, hơn hết là đừng ai thắng ai
• Mã độc trên MongoDB tấn công hơn 26.000 nạn nhân trong 1 tuần
• Microsoft bắt tay Amazon hợp tác đánh bại đối thủ chung Google trong điện toán đám mây