เตือนตั้งค่า AWS S3 ผิดพลาด เสี่ยงถูกโจมตีแบบ Man-in-the-Middle โดยไม่รู้ตัว

Sekhar Sarukkai หัวหน้าทีมนักวิจัยจาก Skyhigh Networks ออกมาเปิดเผยถึงวิธีการโจมตีใหม่บน Amazon S3 Bucket ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle หรือแฮ็คเข้าไปยังบริษัทของลูกค้าผ่านทางการสแกนหา S3 บนอินเทอร์เน็ตที่เจ้าของไม่ได้จำกัดสิทธิ์การเขียน (Write Access) เอาไว้ โดยเรียกวิธีการโจมตีนี้ว่า ‘GhostWriter’

GhostWriter แทนที่ไฟล์ปกติด้วยไฟล์อันตราย

แฮ็กเกอร์สามารถใช้ประโยชน์จากการตั้งค่า S3 ผิดพลาด (ไม่จำกัดสิทธิ์การเขียนไฟล์) โดยทำการแทนที่ไฟล์จริงด้วยไฟล์ที่ถูกดัดแปลงมาเป็นพิเศษเพื่อใช้โจมตีโดยเฉพาะ Sarukkai กล่าวว่า เจ้าของ Bucket ที่เก็บ JavaScript หรือโค้ดอื่นๆ ควรจะใส่ใจกับภัยคุกคามครั้งนี้ว่าไม่มีมือที่สามมาแอบเขียนทับโค้ดเหล่านั้นเพื่อใช้ในทางไม่ดีได้ เช่น โจมตีแบบ Drive-by Attacks, ขุดเหมือง Bitcoin หรือเจาะช่องโหว่ นอกจากนี้ยังให้รายละเอียดอีกว่าถ้าแฮ็กเกอร์ค้นพบ S3 ที่สิทธิ์การเขียนเป็นของบริษัทตัวแทน แฮ็กเกอร์ก็สามารถแทน Ad code (โค้ดของตัวแทนจำหน่าย) และเปลี่ยนให้เงินไปเข้าบัญชีของตัวเอง หรือดักจับและเปลี่ยนเส้นทางการชำระเงินของ Subscription ได้

GhostWriter คือวิธีการแฮ็กบริษัทอย่างไร้ร่องรอย

เทคนิค GhostWriter เป็นวิธีที่อันตรายมากเมื่อดำเนินการโจมตีแบบ Man-in-the-Middle และคอยดักจับข้อมูลที่วิ่งเข้ามา การโจมตีนี้ไร้ร่องรอยและตรวจพบได้ยาก เนื่องจากเป็นการโจมตีที่ใช้ประโยชน์จากองค์ที่เชื่อถือผู้ให้บริการระบบ Cloud นอกจากนี้เทคนิค GhostWriter สามารถนำไปใช้โจมตีได้ทั้งสองฝั่งไม่ว่าจะเป็นเครือข่ายภายในบริษัทเองหรือฝังคู่ค้าของบริษัทนั้นเพื่อขโมยข้อมูลสำคัญออกมา

เซิร์ฟเวอร์บน Cloud นั้นเป็นเป้าหมายที่มีค่าอย่างยิ่ง

การโจมตีแบบนี้ไม่ใช่เพียงแค่ในทฤษฎีอีกต่อไป เมื่อต้นปีนี้กลุ่มแฮ็กเกอร์จากจีนได้หมายหัวผู้ให้บริการ Cloud โดยเข้าไปแฝงตัวภายในผู้ให้บริการ Cloud บนระบบเครือข่ายภายใน เนื่องจากบริษัทส่วนใหญ่นิยมมาใช้ Cloud เพื่อทำดำเนินงาน เช่น แชร์เอกสาร แอปพลิเคชันภายในองค์กร ระบบฝ่ายบุคคล หรืออื่นๆ แต่ว่าก็ไม่ได้รับการยืนยันว่าเกิดจากเทคนิค GhostWriter หรือไม่ แต่เทคนิค GhostWriter นี้ก็ให้ผลเช่นเดียวกัน คือ แฮ็คเกอร์เสาะหา S3 Bucket ที่ต้องการแล้วก็ทำการแทรกซึมลึกลงไปภายในบริษัทต่างๆ โดยการแทนที่ไฟล์และปฏิบัติการ Man-in-the-Middle แบบลับๆ เพื่อดักจับข้อมูลที่ผ่านเข้ามา Dylan Katz นักวิจัยด้านความมั่นคงปลอดภัยระบุว่า “การโจมตีนี้คล้ายกับที่เคยเกิดขึ้นก่อนหน้าที่กลุ่มแฮ็คเกอร์จากรัสเซียชื่อ APT28 ได้ทำการแทนที่ไฟล์ปกติที่อยู่ในโฟลเดอร์ที่เปิดแชร์ด้วยเอกสารที่ติดมัลแวร์ ” Skyhigh ชี้ให้เห็นว่ากว่า 1,600 S3 Buckets สามารถเข้าถึงได้จากเครือข่ายภายในองค์กรและ 4% มีความเสี่ยงสูงจากการโจมตีแบบ GhostWriter เนื่องจากอนุญาติให้ผู้ใช้จากภายนอกที่ไม่ได้ผ่านการพิสูจน์ตัวตนสามารถเขียนข้อมูลลงไปใน Bucket ได้

ต้องกล่าวโทษคนเหมือนเช่นเคย

Katz กล่าวว่า “S3 Bucket มีปัญหาเหมือนกับ MongoDB ผู้ดูแลระบบคิดว่ามันมีความมั่นคงปลอดภัยโดยพื้นฐานตั้งแต่แรกอยู่แล้ว และไม่มีการแจ้งเตือนหรือเอกสารที่ระบุถึงวิธีป้องกันความผิดพลาดอันเนื่องมาจากผู้ใช้อย่างชัดเจน ถ้ามีวิธีการที่ช่วยให้การตั้งค่ามันทำได้ง่ายๆ ก็จะมีคนใช้งานมันแบบนั้น แม้ว่ามันจะมีความมั่นคงปลอดภัยต่ำก็ตาม” ลองนึกดูว่าถ้าแฮ็กเกอร์มีสิทธิ์การเขียนบนเซิร์ฟเวอร์เหล่านั้นไม่ใช่เพียงแค่ดูหรือดาวน์โหลด เช่นกันกับการตั้งค่า S3 Bucket ผิดพลาดหมายถึงทุกอย่างนั่นแหละ

• ข้อมูลของพนักงานกว่าพันคนของธนาคารและหน่วยงานรัฐบาลออสเตรเลียรั่วไหล
• บริษัทติดตามยานพาหนะแบบอัตโนมัติทำบันทึกข้อมูลกว่าครึ่งล้านรั่วไหลประกอบด้วย ชื่อและรหัสผู้ใช้งาน อีเมล เลขระบุยานพาหนะ เลข IMEI ของอุปกรณ์ GPS และข้อมูลอื่นๆที่อยู่ในอุปกรณ์และข้อมูลลูกค้า
• บริษัมแม่ของ Wallstreet อย่าง Dow Jones ก็ทำข้อมูลส่วนตัวของลูกค้ากว่า 2.2 ล้านคนรั่วไหล
• ข้อมูลส่วนตัวของชาวอเมริกันกว่า 198 ล้านคนที่เข้าลงคะแนนช่วงเลือกตั้ง ซึ่งฐานข้อมูลมาจาก 3 บริษัทด้านเหมืองข้อมูลที่เกี่ยวพันกับพรรครีพับริกัล

ที่มา : https://www.bleepingcomputer.com/news/security/misconfigured-amazon-s3-buckets-expose-users-companies-to-stealthy-mitm-attacks/