Ngày 2 tháng 11 năm 2012
Các nhà nghiên cứu bảo mật đã báo cáo hành vi không chính xác trong các cơ chế xác thực chứng chỉ SSL của một số bộ công cụ phát triển phần mềm (SDK) và công cụ giao diện lập trình ứng dụng (API) do AWS và các bên thứ ba duy trì. Cụ thể là các nhà nghiên cứu đã xác định các phiên bản công cụ API Elastic Cloud Compute (EC2), công cụ API Elastic Load Balancing (ELB) và SDK Flexible Payments Software (FPS) mà có thể thực hiện hoạt động xác thực chứng chỉ SSL không chính xác. Hoạt động xác thực chứng chỉ SSL không chính xác được báo cáo trong các công cụ API EC2 và ELB có khả năng cho phép kẻ tấn công xen giữa đọc được, nhưng không sửa được, các yêu cầu AWS REST/Query dành cho các điểm cuối API EC2 hoặc ELB (HTTPS) bảo mật. Những sự cố này không cho phép kẻ tấn công truy cập vào các phiên bản của khách hàng hay thao túng dữ liệu của khách hàng. Hoạt động xác thực chứng chỉ SSL không chính xác được báo cáo trong SDK FPS có khả năng cho phép kẻ tấn công đọc được, nhưng không sửa được các yêu cầu AWS REST đã ký cho các điểm cuối API FPS (HTTPS) bảo mật và cũng có thể ảnh hưởng đến các ứng dụng thương mại sử dụng SDK Amazon Payments Software để xác minh phản hồi FPS cho quá trình xác minh Thông báo thanh toán tức thì.
Để khắc phục những sự cố này, AWS đã phát hành phiên bản cập nhật của các công cụ API và SDK bị ảnh hưởng, cụ thể như sau:
Công cụ API EC2
http://aws.amazon.com/developertools/351
Công cụ API ELB
http://aws.amazon.com/developertools/2536
Bản cập nhật phần mềm Amazon Payments
Hoa Kỳ: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
Anh: https://payments.amazon.co.uk/help?nodeId=201033780
Đức: https://payments.amazon.de/help?nodeId=201033780
AWS đã khắc phục những vấn đề tương tự đối với các công cụ SDK và API bổ sung; phát hành các phiên bản cập nhật, có thể tìm tại đây:
Boto
https://github.com/boto/boto
Công cụ dòng lệnh Auto Scaling
http://aws.amazon.com/developertools/2535
Công cụ dòng lệnh AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
Ứng dụng bootstrapping sử dụng AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Công cụ xác thực Amazon CloudFront cho Curl
http://aws.amazon.com/developertools/CloudFront/1878
Công cụ dòng lệnh Amazon CloudWatch
http://aws.amazon.com/developertools/2534
Tập lệnh giám sát Amazon CloudWatch cho Linux
http://aws.amazon.com/code/8720044071969977
Bộ kết nối Amazon EC2 VM Import cho VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
Công cụ dòng lệnh AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Bộ công cụ dòng lệnh Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Công cụ dòng lệnh Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
Amazon Mechanical Turk SDK cho .NET
http://aws.amazon.com/code/SDKs/923
Amazon Mechanical Turk SDK cho Perl
http://aws.amazon.com/code/SDKs/922
Công cụ xác thực Amazon Route 53 cho Curl
http://aws.amazon.com/code/9706686376855511
Thư viện Ruby cho Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Công cụ giao diện dòng lệnh Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
Công cụ xác thực Amazon S3 cho Curl
http://aws.amazon.com/developertools/Amazon-S3/128
Ngoài việc sử dụng các công cụ SDK và API mới nhất của AWS, khách hàng cũng nên cập nhật các quan hệ phụ thuộc phần mềm cơ sở. Các phiên bản đề xuất cho các quan hệ phụ thuộc phần mềm cơ sở có thể tìm thấy trong tệp README của gói công cụ SDK hoặc CLI.
AWS tiếp tục khuyến nghị sử dụng SSL để tăng cường bảo mật và để bảo vệ các yêu cầu AWS hoặc phản hồi của yêu cầu tránh bị xem trong quá trình chuyển. Các yêu cầu AWS REST/Query đã ký thông qua HTTP hoặc HTTPS được bảo vệ tránh bị sửa đổi bởi bên thứ ba và truy cập API được bảo vệ bằng MFA sử dụng AWS Multi-Factor Authentication (MFA) cung cấp thêm một lớp bảo mật cho các hoạt động mạnh mẽ, như kết thúc phiên bản Amazon EC2 hoặc đọc dữ liệu nhạy cảm được lưu trữ trong Amazon S3.
Để biết thêm thông tin về việc ký yêu cầu AWS REST/Query, hãy xem:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Để biết thêm thông tin về truy cập API được bảo vệ bằng MFA, hãy xem:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS xin chân thành cảm ơn những cá nhân sau đây đã báo cáo vấn đề này và chia sẻ niềm đam mê bảo mật với chúng tôi:
Martin Georgiev, Suman Jana và Vitaly Shmatikov của Đại họcTexas tại Austin
Subodh Iyengar, Rishita Anubhai và Dan Boneh của Đại học Stanford
Bảo mật là ưu tiên hàng đầu của chúng tôi. Chúng tôi luôn duy trì cam kết cung cấp các tính năng, cơ chế và hỗ trợ cho khách hàng để hiện thực hóa cơ sở hạ tầng AWS bảo mật. Bạn có thể gửi những câu hỏi hoặc mối quan tâm liên quan đến bảo mật AWS đến chúng tôi theo aws-security@amazon.com.