เตือนตั้งค่า AWS S3 ผิดพลาด เสี่ยงถูกโจมตีแบบ Man-in-the-Middle โดยไม่รู้ตัว

Sekhar Sarukkai หัวหน้าทีมนักวิจัยจาก Skyhigh Networks ออกมาเปิดเผยถึงวิธีการโจมตีใหม่บน Amazon S3 Bucket ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle หรือแฮ็คเข้าไปยังบริษัทของลูกค้าผ่านทางการสแกนหา S3 บนอินเทอร์เน็ตที่เจ้าของไม่ได้จำกัดสิทธิ์การเขียน (Write Access) เอาไว้ โดยเรียกวิธีการโจมตีนี้ว่า ‘GhostWriter’

Credit: ShutterStock.com

GhostWriter แทนที่ไฟล์ปกติด้วยไฟล์อันตราย

แฮ็กเกอร์สามารถใช้ประโยชน์จากการตั้งค่า S3 ผิดพลาด (ไม่จำกัดสิทธิ์การเขียนไฟล์) โดยทำการแทนที่ไฟล์จริงด้วยไฟล์ที่ถูกดัดแปลงมาเป็นพิเศษเพื่อใช้โจมตีโดยเฉพาะ Sarukkai กล่าวว่า เจ้าของ Bucket ที่เก็บ JavaScript หรือโค้ดอื่นๆ ควรจะใส่ใจกับภัยคุกคามครั้งนี้ว่าไม่มีมือที่สามมาแอบเขียนทับโค้ดเหล่านั้นเพื่อใช้ในทางไม่ดีได้ เช่น โจมตีแบบ Drive-by Attacks, ขุดเหมือง Bitcoin หรือเจาะช่องโหว่ นอกจากนี้ยังให้รายละเอียดอีกว่าถ้าแฮ็กเกอร์ค้นพบ S3 ที่สิทธิ์การเขียนเป็นของบริษัทตัวแทน แฮ็กเกอร์ก็สามารถแทน Ad code (โค้ดของตัวแทนจำหน่าย) และเปลี่ยนให้เงินไปเข้าบัญชีของตัวเอง หรือดักจับและเปลี่ยนเส้นทางการชำระเงินของ Subscription ได้

GhostWriter คือวิธีการแฮ็กบริษัทอย่างไร้ร่องรอย

เทคนิค GhostWriter เป็นวิธีที่อันตรายมากเมื่อดำเนินการโจมตีแบบ Man-in-the-Middle และคอยดักจับข้อมูลที่วิ่งเข้ามา การโจมตีนี้ไร้ร่องรอยและตรวจพบได้ยาก เนื่องจากเป็นการโจมตีที่ใช้ประโยชน์จากองค์ที่เชื่อถือผู้ให้บริการระบบ Cloud นอกจากนี้เทคนิค GhostWriter สามารถนำไปใช้โจมตีได้ทั้งสองฝั่งไม่ว่าจะเป็นเครือข่ายภายในบริษัทเองหรือฝังคู่ค้าของบริษัทนั้นเพื่อขโมยข้อมูลสำคัญออกมา

เซิร์ฟเวอร์บน Cloud นั้นเป็นเป้าหมายที่มีค่าอย่างยิ่ง

การโจมตีแบบนี้ไม่ใช่เพียงแค่ในทฤษฎีอีกต่อไป เมื่อต้นปีนี้กลุ่มแฮ็กเกอร์จากจีนได้หมายหัวผู้ให้บริการ Cloud โดยเข้าไปแฝงตัวภายในผู้ให้บริการ Cloud บนระบบเครือข่ายภายใน เนื่องจากบริษัทส่วนใหญ่นิยมมาใช้ Cloud เพื่อทำดำเนินงาน เช่น แชร์เอกสาร แอปพลิเคชันภายในองค์กร ระบบฝ่ายบุคคล หรืออื่นๆ แต่ว่าก็ไม่ได้รับการยืนยันว่าเกิดจากเทคนิค GhostWriter หรือไม่ แต่เทคนิค GhostWriter นี้ก็ให้ผลเช่นเดียวกัน คือ แฮ็คเกอร์เสาะหา S3 Bucket ที่ต้องการแล้วก็ทำการแทรกซึมลึกลงไปภายในบริษัทต่างๆ โดยการแทนที่ไฟล์และปฏิบัติการ Man-in-the-Middle แบบลับๆ เพื่อดักจับข้อมูลที่ผ่านเข้ามา Dylan Katz นักวิจัยด้านความมั่นคงปลอดภัยระบุว่า “การโจมตีนี้คล้ายกับที่เคยเกิดขึ้นก่อนหน้าที่กลุ่มแฮ็คเกอร์จากรัสเซียชื่อ APT28 ได้ทำการแทนที่ไฟล์ปกติที่อยู่ในโฟลเดอร์ที่เปิดแชร์ด้วยเอกสารที่ติดมัลแวร์ ” Skyhigh ชี้ให้เห็นว่ากว่า 1,600 S3 Buckets สามารถเข้าถึงได้จากเครือข่ายภายในองค์กรและ 4% มีความเสี่ยงสูงจากการโจมตีแบบ GhostWriter เนื่องจากอนุญาติให้ผู้ใช้จากภายนอกที่ไม่ได้ผ่านการพิสูจน์ตัวตนสามารถเขียนข้อมูลลงไปใน Bucket ได้

ต้องกล่าวโทษคนเหมือนเช่นเคย

Katz กล่าวว่า “S3 Bucket มีปัญหาเหมือนกับ MongoDB ผู้ดูแลระบบคิดว่ามันมีความมั่นคงปลอดภัยโดยพื้นฐานตั้งแต่แรกอยู่แล้ว และไม่มีการแจ้งเตือนหรือเอกสารที่ระบุถึงวิธีป้องกันความผิดพลาดอันเนื่องมาจากผู้ใช้อย่างชัดเจน ถ้ามีวิธีการที่ช่วยให้การตั้งค่ามันทำได้ง่ายๆ ก็จะมีคนใช้งานมันแบบนั้น แม้ว่ามันจะมีความมั่นคงปลอดภัยต่ำก็ตาม” ลองนึกดูว่าถ้าแฮ็กเกอร์มีสิทธิ์การเขียนบนเซิร์ฟเวอร์เหล่านั้นไม่ใช่เพียงแค่ดูหรือดาวน์โหลด เช่นกันกับการตั้งค่า S3 Bucket ผิดพลาดหมายถึงทุกอย่างนั่นแหละ

บริษัทที่ต้องการหลีกเลี่ยงการโจมตีแบบ GhostWriter นั้นควรอ่านเอกสารดังนี้ให้เข้าใจถึงสิทธิ์การเข้าถึงของ S3 Overview of Managing Access, Introduction to Managing Access Permission to Your Amazon S3 Resource, Managing Access Permission to Your Amazon Resource นอกจากนี้มีเหตุการณ์การรั่วไหลในช่วงหลายเดือนที่ผ่านมาเนื่องจากการตั้งค่า S3 ผิดพลาดดังนี้
  • ข้อมูลของพนักงานกว่าพันคนของธนาคารและหน่วยงานรัฐบาลออสเตรเลียรั่วไหล
  • บริษัทติดตามยานพาหนะแบบอัตโนมัติทำบันทึกข้อมูลกว่าครึ่งล้านรั่วไหลประกอบด้วย ชื่อและรหัสผู้ใช้งาน อีเมล เลขระบุยานพาหนะ เลข IMEI ของอุปกรณ์ GPS และข้อมูลอื่นๆที่อยู่ในอุปกรณ์และข้อมูลลูกค้า
  • บริษัมแม่ของ Wallstreet อย่าง Dow Jones ก็ทำข้อมูลส่วนตัวของลูกค้ากว่า 2.2 ล้านคนรั่วไหล
  • ข้อมูลส่วนตัวของชาวอเมริกันกว่า 198 ล้านคนที่เข้าลงคะแนนช่วงเลือกตั้ง ซึ่งฐานข้อมูลมาจาก 3 บริษัทด้านเหมืองข้อมูลที่เกี่ยวพันกับพรรครีพับริกัล

ที่มา : https://www.bleepingcomputer.com/news/security/misconfigured-amazon-s3-buckets-expose-users-companies-to-stealthy-mitm-attacks/





About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Drupal ออกอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

Drupal ระบบ Content Management System (CMS) ชื่อดัง ได้ประกาศปล่อยอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition