Các rủi ro do các ảnh được cài đặt trước cho đám mây của Amazon gây ra

Risks posed by pre-configured images for Amazon's cloud

10 November 2011, 14:01

Theo: http://www.h-online.com/security/news/item/Researchers-find-holes-in-the-cloud-1366112.html

Bài được đưa lên Internet ngày: 10/11/2011

Lời người dịch: Hiện các ứng dụng trong đám mây Amazon có rất nhiều lỗi có thể bị tổn thương do các cuộc tấn công. Những lỗi này chủ yếu là do sử dụng các phần mềm đã lỗi thời kể cả đối với một số tiện ích Linux đã lỗi thời như Debian OpenSSL/SSH, cũng như các ảnh Windows. Có tới 246 trong số 253 thiết bị Windows có lỗi, thậm chí có những dữ liệu được cho là bị xóa sạch rồi nhưng các nhà nghiên cứu lại có thể phục hồi lại được tới 98% trong số 1/5 các ảnh AMI được kiểm tra. Điều này là rất đáng lo ngại. Amazon đã thông báo cho các khách hàng về những lỗi của họ và có chỉ dẫn để tránh.

Các khách hàng đám mây Amazon có sự truy cập tới hơn 8.000 ảnh máy Amazon (AMI) được thiết lập cấu hình trước đó trên khắp thế giới. Nhiều AMI này có một loạt các lỗ hổng an ninh đã được trình bày bởi các nhà nghiên cứu có trụ sở ở Darmstadt, những người đã xem xét khoảng 1.100 AI vào tháng 6. Bây giờ, một nhóm các nhà nghiên cứu tại trung tâm nghiên cứu EURECOM tại Pháp đã điều tra hơn một nửa các ảnh có sẵn trên thế giới và đã xác định được đúng y những chỗ bị tổn thương, cũng như các vấn đề bổ sung.

Các AMI của Windows, đại diện cho một tỷ lệ nhỏ của 5.300 ảnh đã được kiểm tra, đã bị lây nhiễm đặc biệt tồi tệ. Các vấn đề về an ninh đã được thấy trong 246 trong số 253 thiết bị Windows. Một lỗi cho phép mã nguồn tùy ý có thể chạy được khi một website nhất định nào đó được truy cập trong Internet Explorer từng là đặc biệt phổ biến.

Một số các AMI Linux vẫn đưa vào các phiên bản cũ của Debian OpenSSL/SSH mà tạo ra những khóa SSH yếu; lỗi này đã được biết tới khoảng từ năm 2008. Tuy niên, các phần mềm lỗi thời không chỉ là vấn đề đã tìm thấy trong AMI - các nhà nghiên cứu đã thường phát hiện các khóa truy cập AWS cho phép các dịch vụ được khởi động với phí tổn của người nắm giữ khóa.

Họ cũng đã phát hiện các khóa SSH riêng, hoặc thậm chí cả các kết nối SSH, mà chỉ yêu cầu có 1 mật khẩu; cái sau là bị tổn thương đối với các cuộc tấn công sức mạnh tàn khốc. Thậm chí việc xóa các dữ liệu nhạy cảm không phải lúc nào cũng đáng tin cậy, khi mà các nhà nghiên cứu đã xây dựng lại được các tệp của một ảnh có sử dụng các công cụ Linux như extundelete. Trong quá trình đó, họ đã phục hồi được vài khóa AWS và SSH được cho là đã bị xóa.

Tổng thể, các nhà nghiên cứu đã thấy các dữ liệu xác thực trong khoảng 1/5 các AMI được kiểm tra và đã có khả năng xây dựng lại các tệp bị xóa tới 98% các ảnh. Amazon đã thông báo các các khách hàng của mình về các vấn đề này và đã đưa ra những chỉ dẫn về cách để tránh các vấn đề an ninh ảnh AMI. Một sách chỉ dẫn được đưa ra để giúp những lập trình viên tạo ra những AMI an ninh.

Amazon cloud customers have access to more than 8,000 pre-configured Amazon Machine Images (AMIs) worldwide. That many of these AMIs contain a variety of security holes was demonstrated by Darmstadt-based researchers, who examined about 1,100 AMIs back in June. Now, a group of researchers at the EURECOM research centre in France have investigated more than half of the images that are available worldwide and identified the same vulnerabilities, as well as additional problems.

The Windows AMIs, which represented a small proportion of the 5,300 images that were examined, were particularly badly affected. Security issues were found in 246 out of 253 Windows appliances. A bug that allows arbitrary code to be executed when a certain web site is accessed in Internet Explorer was especially common.

A number of Linux AMIs still included the old versions of Debian OpenSSL/SSH that generate weak SSH keys; this bug has been known about since 2008. However, obsolete software isn't the only problem that was found in the AMIs – the researchers frequently discovered AWS Access Keys that allow services to be started at the key holder's expense.

They also discovered private SSH keys, or even SSH connections, that only required a password; the latter are vulnerable to brute-force attacks. Even deleting sensitive data cannot always be relied upon, as the researchers managed to reconstruct an image's files using Linux tools such as extundelete. In the process, they recovered several supposedly deleted AWS and SSH keys.

On the whole, the researchers found authentication data in about one-fifth of the examined AMIs and were able to reconstruct deleted files in 98 per cent of images. Amazon has informed its customers of these problems and has released guidelines on how to avoid AMI security issues. A tutorial is provided to help developers create secure AMIs.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com