TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
แม้ว่านักวิจัยด้าน Security จะค้นพบช่องโหว่ whoAMI และ AWS ได้แก้ไขปัญหาที่จะทำให้สามารถทำ Code Execution ได้บน Amazon EC2 Instance ไปเรียบร้อยแล้ว แต่ดูเหมือนว่าปัญหาดังกล่าวยังคงอยู่ในฝั่งของลูกค้าองค์กรที่สภาพแวดล้อมยังคงไม่ได้อัปเดตแก้ไข
นักวิจัยด้าน Security จาก DataDog ได้พบการโจมตีภายใต้ชื่อ “whoAMI” เมื่อเดือนสิงหาคม 2024 ที่ผ่านมา ซึ่งชี้ให้เห็นว่ามีโอกาสที่แฮกเกอร์จะสามารถดำเนินการ Code Execution ภายในบัญชี AWS Account ได้ หากมีการดึงนำเอา AMI IDs ที่ซ่อน Backdoor ของแฮกเกอร์ขึ้นมาใช้งาน
Amazon Machine Images (AMI) คือการกำหนดค่า Virtual Machine ไว้ล่วงหน้าโดยระบุซอฟต์แวร์ต่าง ๆ ที่จำเป็นในการใช้งาน ไม่ว่าจะเป็นระบบปฏิบัติการ เครื่องมือ หรือแอปพลิเคชันต่าง ๆ ไว้ เพื่อนำไปใช้สร้าง Virtual Server ที่เรียกว่า EC2 Instance บน AWS ในกรณีต่าง ๆ ต่อไป
โดยการโจมตี whoAMI นั้นมีโอกาสเกิดขึ้นได้ถ้าหากมีการตั้งค่าเพื่อเลือกใช้ AMI ในสภาพแวดล้อม AWS ไว้อย่างไม่เหมาะสม เช่น
- การดึงค่า AMI ขึ้นโดยซอฟต์แวร์ด้วยการใช้ ec2:DescribeImages API โดยที่ไม่ได้ระบุผู้สร้าง (Owner)
- การใช้ Wildcard (*) ใน Script แทนที่จะใช้ AMI ID ที่เฉพาะเจาะจง
- การใช้เครื่องมือ Infrastructure-as-Code (IaC) อย่างเช่น Terraform ด้วยการระบุ “most_recent=true” ที่จะมีการดึงเอา AMI ตัวล่าสุดที่ Match กับ Filter ขึ้นมาใช้งานทันที
และเมื่อ AMI ของแฮกเกอร์ได้ถูกนำขึ้นมาใช้งานและเปิด EC2 Instance ขึ้นมา ก็จะทำให้แฮกเกอร์มี Backdoor ที่โอกาสถูกโจมตี Code Execution ได้ต่อไป
นักวิจัย DataDog พบว่าปัญหาดังกล่าวนั้นยังคงมีองค์กรราว 1% ที่ยังคงมีช่องโหว่จากการโจมตี whoAMI ซึ่งอาจจะมีผลกระทบราว ๆ หลักพันบัญชี AWS Account แม้ว่าปัญหาดังกล่าวจะมีการแก้ไขมาตั้งแต่ 19 กันยายน 2024 ที่ผ่านมา รวมทั้ง AWS ยังได้แนะนำ Security Control ใหม่ที่เรียกว่า “Allowed AMIs” แล้วก็ตาม
ดังนั้น หากองค์กรใดใช้บริการ AWS แนะนำให้ทางผู้ดูแลระบบตรวจสอบการตั้งค่าและอัปเดตโค้ดในการเรียกใช้ AMI ให้เหมาะสมมากยิ่งขึ้น ไม่ว่าจะเป็นการใช้งานผ่าน Terraform, AWS CLI, Python Boto3 หรือว่า Go AWS SDK ก็ตาม เพื่อให้การดึง AMI ขึ้นมาจากผู้ให้บริการที่น่าเชื่อถือ
