Theo hoạch toán của tổ chức bảo mật CSO, có đến hơn 80% tổ chức, doanh nghiệp đã và đang sử dụng dịch vụ từ 2 hoặc nhiều nhà cung cấp cơ sở hạ tầng đám mây công cộng, và gần 2/3 trong số đó đang sử dụng dịch vụ của từ 3 hãng sản xuất trở lên.
Chuyển đổi sang môi trường đám mây đã và đang là khuynh hướng số hóa trên quy mô toàn cầu. Thế nhưng kế bên những lợi ích rõ ràng, các tổ chức cũng đồng thời phải đổi mặt với nguy cơ trở thành nạn nhân của những vụ vi phạm dữ liệu, tấn công bằng phần mềm độc hại và nhiều không may bảo mật khác.
Cả năng bảo mật của các nền tảng mây ngày càng trở nên hoàn thiện hơn, tuy nhiên không phải là không có lỗ hổng. Đơn cử như vụ tấn công “Cloud Snooper” mới diễn ra gần đây, sử dụng rootkit để đẩy lưu lượng truy cập độc hại thông qua một khách hàng AWS, băng qua hệ thống tường lửa của nền tảng đám mây này trước khi phát tán trojan truy cập từ xa trên nền tảng.
Vậy có các phương thức nào để hacker có thể khai thác các lỗ hổng trên đám mây và tiếp cận với dữ liệu của tổ chức, doanh nghiệp?
Tấn công API
Rò rỉ thông tin xác thực API hoặc API bị định cấu hình sai là một trong các lỗ hổng thông dụng mở đường cho hacker đột nhập vào các nền tảng đám mây. Khi kẻ tiến công có được 1 trong các khóa truy cập, chúng sẽ sử dụng nó chiếm truy cập và kiểm soát phần nào máy chủ, sau đó thi hành lệnh gọi API đối với những hoạt động độc hại hoặc leo thang đặc quyền hệ thống. Thông thường, các khóa được sẽ được rò rỉ/chia sẻ thông qua GitHub, BitBucket… dưới dạng hình ảnh được chia sẻ và ảnh chụp nhanh.
Vụ rò rỉ dữ liệu mới đây ảnh hưởng tới hơn 6,5 triệu công dân Israel là thí dụ điển hình về hình thức tiến công này.
Việc để lộ khóa API cũng có thể có thể là một sơ sót của các nhà phát triển như đã diễn ra với Starbuck. Nếu khóa API bị lộ và rớt vào tay hacker, chúng sẽ được quyền truy cập vào các hệ thống nội bộ và thao túng danh sách người dùng được ủy quyền.
Sự cố rò rỉ API lớn nhất được ghi nhận vào tháng 3 năm 2019, khi một nhóm các nhà nghiên cứu bảo mật phát giác ra 100.000 kho lưu giữ GitHub bị rò rỉ token API và khóa mật mã, có thể truy cập tự do trong vòng thời gian 6 tháng, gây thiệt hại nặng nề cho các tổ chức có liên quan.
Cấu hình sai
Cơ sở dữ liệu và máy chủ bị định cấu hình sai là một trong những nguyên nhân phổ biến đằng sau không ít thảm họa bảo mật đám mây.
Tài nguyên dựa theo điện toán đám mây rất phức tạp và thay đổi liên tục, khiến người quản lý hệ thống gặp khó khăn khi cấu hình. Hacker, đặc biệt là các những nhóm được tài trợ, luôn nhắm vào lỗ hổng cấu hình sai trên các máy chủ đám mây để triển khai ransomware và backdoor nhằm khai thác tiền điện tử hoặc đánh cắp dữ liệu nhạy cảm. Một số máy chủ đám mây lớn đã từng trở thành nạn nhân của hình thức tiến công này kể cả máy server WebLogic của Oracle, Atlassian Confluence và máy server email Microsoft Exchange.
Giả mạo đòi hỏi phía máy server (SSRF)
SSRF (Server Side Request Forgery) – giả mạo đòi hỏi từ phía máy chủ – là một hình thức tấn công cấp phép hacker thay đổi tham số được dùng trên ứng dụng web để tạo hoặc khống chế các đòi hỏi từ máy server dễ dẫn đến tấn công.
SSRF là hình thức tấn công có xu hướng nở rực trong thời gian gần đây, liên quan thực tiếp đến quyền truy cập cấu hình, nhật ký, thông tin đăng nhập và nhiều loại dữ liệu khác trong cơ sở hạ tầng đám mây.
Vụ phạm luật dữ liệu với quy mô cực to xảy gần đây nhắm vào tổ chức Capital One cho thấy tiềm năng và chừng độ rủi ro của SSRF. Những kẻ tấn công đã triển khai thành đạt một chiến dịch SSRF quy mô lớn để chiếm đoạn tin tức xác thực AWS, sau đó sử dụng dữ liệu này đánh cắp tin tức cá nhân của hơn 100 triệu khách hàng Capital One.
Từ khóa bài viết: truongthinh.info, bảo mật đám mây, bảo mật hệ thống, lỗ hổng đám mây, tấn công đám mây, an ninh mạng, hacker, Giả mạo yêu cầu máy chủ SSRF, Cấu hình sai, Tấn công API
Bài viết 3 phương thức tấn công nhắm vào đám mây phổ biến nhất hiện nay được tổng hợp và biên tập bởi: truongthinh.info. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho truongthinh.info để điều chỉnh. truongthinh.info xin cảm ơn.