20/10/2011
Gần đây, các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng có thể gặp phải trong kỹ thuật đóng gói tín hiệu và viết lệnh chéo trang nâng cao mà một số dịch vụ AWS sử dụng. Những lỗ hổng tiềm tàng này đã được xử lý và không có khách hàng nào bị ảnh hưởng. Dưới đây là thông tin tóm tắt về những phát hiện của cuộc nghiên cứu, và lời nhắc về các phương pháp tốt nhất dành cho hoạt động xác thực phù hợp của người dùng. Khách hàng triển khai đầy đủ các phương pháp bảo mật tốt nhất của AWS sẽ miễn nhiễm với những lỗ hổng này.
Theo nghiên cứu, lỗi khi phân tích cú pháp SOAP có thể đã tạo ra các yêu cầu SOAP đặc biệt, với các thành phần tin nhắn tin nhắn trùng lặp và/hoặc chữ ký bằng mật mã bị thiếu được xử lý. Nếu trường hợp này xảy ra, những kẻ có quyền truy cập vào tin nhắn SOAP chưa mã hóa sẽ có thể tấn công bằng cách mạo danh một người dùng hợp lệ khác và thực hiện các hành động không hợp lệ trong EC2. Ví dụ: nếu một kẻ tấn công bằng cách nào đó kiếm được yêu cầu SOAP chưa ký, chưa tạo của một khách hàng EC2, hoặc giấy phép X.509 công khai của khách hàng, thì hắn có thể tạo các yêu cầu SOAP tùy ý thay mặt một khách hàng khác.
Dù việc kiếm được yêu cầu soap chưa ký hoặc giấy phép X.509 là rất khó, nhưng các nhà nghiên cứu đã chỉ ra rằng những kẻ tấn công có thể làm được điều này nếu khách hàng gửi yêu cầu SOAP qua HTTP thay vì HTTPS ở trạng thái công khai và dễ can thiệp, hoặc bỏ mặc toàn bộ nội dung yêu cầu SOAP của mình tại vị trí mà kẻ tấn công dễ truy cập (chẳng hạn như diễn đàn nhắn tin công cộng). Bên cạnh đó, các nhà nghiên cứu bảo mật cũng đã phát hiện và báo cáo những lỗ hỗng Viết lệnh chéo trang (XSS) khác mà có thể được sử dụng để kiếm giấy phép X.509 công khai của khách hàng. Khi kiếm được giấy phép X.509 công khai của khách hàng theo cách này, kẻ tấn công có thể tạo các yêu cầu SOAP tùy ý thay mặt khách hàng nhằm lợi dụng lỗ hổng nói trên.
Những lỗ hổng của cả SOAP và XSS đã được xử lý, và phép phân tích nhật ký nghiêm ngặt đã xác định rằng không có khách hàng nào bị ảnh hưởng.
AWS đưa ra một số nhắc nhở sau đây về các phương pháp bảo mật tốt nhất nhằm bảo vệ khách hàng của mình:
- Chỉ sử dụng điểm cuối HTTPS hoặc điểm cuối do SSL bảo vệ đối với mọi dịch vụ AWS và đảm bảo rằng các tiện ích máy khách thực hiện việc xác thực giấy phép ngang hàng một cách phù hợp. Chỉ một phần rất nhỏ các lệnh gọi API AWS đã xác thực sử dụng điểm cuối không phải SSL, và trong tương lai, AWS không khuyến khích sử dụng các điểm cuối API không phải SSL.
- Bật và sử dụng Multi-Factor Authentication (MFA) đối với quyền truy cập Bảng điều khiển quản lý AWS.
- Tạo tài khoản Identity and Access Management (IAM) với vai trò và trách nhiệm giới hạn, chỉ cho phép quyền truy cập đối với các tài nguyên cụ thể mà những tài khoản này cần đến.
- Hạn chế hơn nữa quyền truy cập và khả năng tương tác API bằng IP nguồn, sử dụng các giới hạn chính sách IP nguồn IAM.
- Thường xuyên xoay vòng thông tin đăng nhập AWS, kể cả Khóa bí mật, giấy phép X.509 và Cặp khóa.
- Khi sử dụng Bảng điều khiển quản lý AWS, hãy hạn chế hoặc tránh tương tác với các trang web khác và làm theo các phương pháp duyệt web an toàn, cũng giống như bạn vẫn thường làm đối với hoạt động ngân hàng hoặc các hoạt động trực tuyến quan trọng/thiết yếu khác.
- Khách hàng AWS cũng nên cân nhắc sử dụng các cơ chế truy cập API khác ngoài SOAP, chẳng hạn như REST/Query.
AWS xin chân thành cảm ơn những cá nhân sau đây đã báo cáo những lỗ hổng này và chia sẻ niềm đam mê bảo mật với chúng tôi:
Juraj Somorovsky, Mario Heiderich, Meiko Jensen và Jörg Schwenk thuộc Ruhr-University Bochum, Đức
Nils Gruschka thuộc NEC Europe
Luigi Lo Iacono thuộc Cologne University of Applied Sciences, Đức
Bảo mật là ưu tiên hàng đầu của chúng tôi. Chúng tôi luôn duy trì cam kết cung cấp các tính năng, cơ chế và hỗ trợ cho khách hàng để hiện thực hóa cơ sở hạ tầng AWS bảo mật. Bạn có thể gửi thắc mắc hoặc mối lo ngại liên quan đến bảo mật cho chúng tôi theo địa chỉ aws-security@amazon.com.