Các rủi ro do các ảnh được cài đặt trước cho đám mây của Amazon gây ra

Risksposed by pre-configured images for Amazon's cloud

10 November 2011, 14:01

Theo:http://www.h-online.com/security/news/item/Researchers-find-holes-in-the-cloud-1366112.html

Bài được đưa lênInternet ngày: 10/11/2011

Lờingười dịch: Hiện các ứng dụng trong đám mây Amazon córất nhiều lỗi có thể bị tổn thương do các cuộc tấncông. Những lỗi này chủ yếu là do sử dụng các phầnmềm đã lỗi thời kể cả đối với một số tiện íchLinux đã lỗi thời như Debian OpenSSL/SSH, cũng như các ảnhWindows. Có tới 246 trong số 253 thiết bị Windows có lỗi,thậm chí có những dữ liệu được cho là bị xóa sạchrồi nhưng các nhà nghiên cứu lại có thể phục hồi lạiđược tới 98% trong số 1/5 các ảnh AMI được kiểm tra.Điều này là rất đáng lo ngại. Amazon đã thông báo chocác khách hàng về những lỗi của họ và có chỉ dẫnđể tránh.

Các khách hàng đámmây Amazon có sự truy cập tới hơn 8.000 ảnh máy Amazon(AMI) được thiết lập cấu hình trước đó trên khắpthế giới. Nhiều AMI này có một loạt các lỗ hổng anninh đã được trình bày bởi các nhà nghiên cứu có trụsở ở Darmstadt, những người đã xem xét khoảng 1.100 AIvào tháng 6. Bây giờ, một nhóm các nhà nghiên cứu tạitrung tâm nghiên cứu EURECOM tại Pháp đã điều tra hơnmột nửa các ảnh có sẵn trên thế giới và đã xácđịnh được đúng y những chỗ bị tổn thương, cũngnhư các vấn đề bổ sung.

Các AMI của Windows,đại diện cho một tỷ lệ nhỏ của 5.300 ảnh đã đượckiểm tra, đã bị lây nhiễm đặc biệt tồi tệ. Các vấnđề về an ninh đã được thấy trong 246 trong số 253thiết bị Windows. Một lỗi cho phép mã nguồn tùy ý cóthể chạy được khi một website nhất định nào đó đượctruy cập trong Internet Explorer từng là đặc biệt phổbiến.

Một số các AMI Linuxvẫn đưa vào các phiên bản cũ của Debian OpenSSL/SSH màtạo ra những khóa SSH yếu; lỗi này đã được biết tớikhoảng từ năm 2008. Tuy niên, các phần mềm lỗi thờikhông chỉ là vấn đề đã tìm thấy trong AMI - các nhànghiên cứu đã thường phát hiện các khóa truy cập AWScho phép các dịch vụ được khởi động với phí tổncủa người nắm giữ khóa.

Họ cũng đã pháthiện các khóa SSH riêng, hoặc thậm chí cả các kết nốiSSH, mà chỉ yêu cầu có 1 mật khẩu; cái sau là bị tổnthương đối với các cuộc tấn công sức mạnh tàn khốc.Thậm chí việc xóa các dữ liệu nhạy cảm không phảilúc nào cũng đáng tin cậy, khi mà các nhà nghiên cứu đãxây dựng lại được các tệp của một ảnh có sử dụngcác công cụ Linux như extunde-lete. Trong quá trình đó, họđã phục hồi được vài khóa AWS và SSH được cho là đãbị xóa.

Tổng thể, các nhànghiên cứu đã thấy các dữ liệu xác thực trong khoảng1/5 các AMI được kiểm tra và đã có khả năng xây dựnglại các tệp bị xóa tới 98% các ảnh. Amazon đã thôngbáo các các khách hàng của mình về các vấn đề này vàđã đưa ra những chỉ dẫn về cách để tránh các vấnđề an ninh ảnh AMI. Một sách chỉ dẫn được đưa ra đểgiúp những lập trình viên tạo ra những AMI an ninh.

Amazoncloud customers have access to more than 8,000 pre-configured AmazonMachine Images (AMIs) worldwide. That many of these AMIs containa variety of security holes was demonstratedby Darmstadt-based researchers, who examined about 1,100 AMIs back inJune. Now, a group of researchers at the EURECOMresearch centre in France have investigated more than half of theimages that are available worldwide and identifiedthe same vulnerabilities, as well as additional problems.

TheWindows AMIs, which represented a small proportion of the 5,300images that were examined, were particularly badly affected. Securityissues were found in 246 out of 253 Windows appliances. A bug thatallows arbitrary code to be executed when a certain web site isaccessed in Internet Explorer was especially common.

Anumber of Linux AMIs still included the old versions of DebianOpenSSL/SSH that generate weakSSH keys; this bug has been known about since 2008. However,obsolete software isn't the only problem that was found in the AMIs –the researchers frequently discovered AWSAccess Keys that allow services to be started at the key holder'sexpense.

Theyalso discovered private SSH keys, or even SSH connections, that onlyrequired a password; the latter are vulnerable to brute-forceattacks. Even deleting sensitive data cannot always be relied upon,as the researchers managed to reconstruct an image's files usingLinux tools such as extunde-lete.In the process, they recovered several supposedly de-leted AWS and SSHkeys.

Onthe whole, the researchers found authentication data in aboutone-fifth of the examined AMIs and were able to reconstruct de-letedfiles in 98 per cent of images. Amazon has informed itscustomers of these problems and has released guidelineson how to avoid AMI security issues. A tutorialis provided to help developers cre-ate secure AMIs.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com