Breaking News

ผู้เชี่ยวชาญเตือน Amazon S3 เสี่ยงถูก Ransomware โจมตีในอนาคตอันใกล้นี้

Kevin Beaumont ผู้เชี่ยวชาญด้าน InfoSec ออกมาแจ้งเตือนผู้ใช้ Amazon S3 ซึ่งเป็นบริการ Cloud Storage ของ AWS เสี่ยงถูก Ransomware โจมตีเพื่อเรียกค่าไถ่เหมือนที่ MongoDB หลายหมื่น Databases ถูกโจมตีตลอดปี 2017 เนื่องจากการตั้งค่าไม่มั่นคงปลอดภัย

Credit: Nicescene/ShutterStock

ในปี 2017 ที่ผ่านมานี้ เราได้เห็นข่าวข้อมูลใน Amazon S3 รั่วไหลออกสู่สาธารณะเป็นจำนวนมาก ไม่ว่าจะเป็น NSA, กองทัพสหรัฐฯ, ผู้ให้บริการการทำ Data Analytics และอื่นๆ ซึ่งส่วนใหญ่มีสาเหตุมาจากการตั้งค่าให้ Amazon S3 เป็นแบบ Publicly-readable โดยไม่รู้ตัว อย่างไรก็ตาม พบว่ามีผู้ใช้บริการบางรายเผลอตั้งค่าแย่ยิ่งกว่านั้น คือเป็น Publicly-writable ซึ่งช่วยให้ใครก็ตาม ต่อให้ไม่มีบัญชี AWS ก็สามารถเขียนหรือลบข้อมูลออกจาก Amazon S3 ได้ทันที จากการสำรวจของ Skyhigh Networks ในเดือนกันยายน 2017 พบว่ามี Amazon S3 ถึง 7% ที่ตั้งค่าแบบ Publicly-writable

ด้วยเหตุนี้ทำให้ผู้เชี่ยวชาญหลายรายเชื่อว่า กลุ่มแฮ็กเกอร์ที่อยู้เบื้องหลังจากโจมตีเพื่อเรียกค่าไถ่จาก MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra และ MySQL servers ในปี 2017 จะเริ่มหันมาพุ่งเป้าที่ Amazon S3 แบบ Publicly-writable ในปี 2018 นี้ อย่างไรก็ตาม เนื่องจาก Amazon S3 เก็บข้อมูลปริมาณมหาศาล การลบข้อมูลทิ้งทั้งหมดแล้วเรียกค่าไถ่แลกกับการนำข้อมูลกลับคืนมาจึงเป็นไปได้ยาก เนื่องจากแฮ็กเกอร์ส่วนใหญ่คงไม่มีระบบ Storage ที่ใหญ่เพียงพอสำหรับสำรองข้อมูลของเหยื่อหลายๆ ราย ส่งผลให้เป็นไปได้สูงที่เหยื่อจะจ่ายค่าไถ่ฟรีๆ

Mike Gualtieri นักวิจัยด้านความมั่นคงปลอดภัยระบุว่า ในเชิงเทคนิคแล้ว การโจมตีเพื่อเรียกค่าไถ่ Amazon S3 เป็นเรื่องที่เป็นไปได้ โดยเขาประสบความสำเร็จในการเขียนสคริปต์ POC เพื่อเข้าถึง Amazon S3 ที่เปิดให้เขียนข้อมูลลงไปได้ โดยสคริปต์จะทำการลิสต์ไฟล์ทั้งหมดใน S3, ดาวน์โหลดไฟล์มาทำแฮชด้วย MD5, จากนั้นลบไฟล์ทิ้ง แล้วอัปโหลดไฟล์แฮชกลับขึ้นไปพร้อมต่อท้ายด้วย .enc เพื่อหลอกผู้ใช้บริการว่าข้อมูลถูกเข้ารหัสเรียบร้อย

นอกจากนี้ยังพบว่ามีนักวิจัยด้านความมั่นคงปลอดภัยบางราย เช่น Robbie Wiggins ได้ทำการสแกน Amazon S3 ที่ตั้งค่าเป็น Publicly-writable พบว่ามีจำนวนมากถึง 5,260 เครื่อง ซึ่ง 50 เครื่องดำเนินการโดย BBC โดยเขาได้ทำการแนบไฟล์ลงไปใน Amazon S3 ที่ค้นพบด้วยข้อความแจ้งเตือนว่า “Anyone can write to this bucket. Please fix this before a bad guy finds it.”

ที่สำคัญคือ Amazon S3 บางส่วนมีการเก็บข้อมูลสำคัญหรือความลับที่พร้อมถูกเรียกค่าไถ่อีกด้วย ไม่ว่าจะเป็นข้อมูลทางการแพทย์ ข้อมูลด้านการทหาร ข้อมูลทรัพย์สินทางปัญญา ข้อมูลสำรอง ไฟล์ Bitcoin Wallet และอื่นๆ ส่งผลให้ต่อให้ Amazon S3 ไม่ได้เป็นแบบ Publicly-writable การที่แฮ็กเกอร์สามารถเข้าถึงข้อมูลเหล่านี้ได้อาจนำไปสู่การ Blackmail เพื่อเรียกค่าไถ่ โดยเฉพาะอย่างยิ่งการมาถึงของ GDPR ในเดือนพฤษภาคมนี้อาจทำให้เหยื่อยอมจ่ายค่าไถ่แทนที่จะเสียค่าปรับหลายสิบล้านยูโร

อย่างไรก็ตาม ทางด้าน AWS เองก็ได้ออกมาแจ้งเตือนผู้ใช้บริการเกี่ยวกับการตั้งค่า Amazon S3 ให้มั่นคงปลอดภัย พร้อมเปิดให้ใช้ AWS Trusted Advisor S3 Bucket Permissions Check Tool พรี สำหรับตรวจสอบว่า Amazon S3 ที่รันอยู่นั้นมีการตั้งค่า Permission อย่างเหมาะสมหรือไม่ หรือจะใช้ S3 Inspector ซึ่งเป็นสคริปต์ Python จาก Kromtech ในการตรวจเช็คก็ได้

ที่มา: https://www.bleepingcomputer.com/news/security/amazon-aws-servers-might-soon-be-held-for-ransom-similar-to-mongodb/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: NDID 101 รู้จักกับ National Digital ID เบื้องต้น โดยทีมงาน NDID

ทีมงาน TechTalkThai ร่วมกับ NDID ขอเชิญทุกท่านที่สนใจเข้าร่วมชม TechTalk Webinar ในหัวข้อเรื่อง “NDID 101 รู้จักกับ National Digital ID เบื้องต้น …

Rapid7 เข้าซื้อ tCell เสริมแกร่งโซลูชันด้าน Application Security

Rapid7 ผู้ให้บริการซอฟต์แวร์วิเคราะห์ด้านความมั่นคงปลอดภัยชื่อดัง ประกาศเข้าซื้อกิจการของ tCell นักพัฒนาด้านความมั่นคงปลอดภัยสำหรับแอปพลิเคชัน เพื่อเสริมความแข็งแกร่งของโซลูชันด้านการป้องกันการโจมตีในระดับแอปพลิเคชัน