ถึงคราว 'คลาวด์' ต้องระวัง

ถึงคราว 'คลาวด์' ต้องระวัง

ค้นพบช่องโหว่ของผู้ให้บริการระบบคลาวด์ชื่อดัง

ความผิดพลาดคือบทเรียน แต่จะเกิดอะไรขึ้นถ้าการ “แกล้ง” ใส่ข้อมูลผิดพลาดของแฮกเกอร์จะทำให้ข้อมูลหลุดรอดออกไปจนกลายเป็นคำใบ้ให้แฮกเกอร์สามารถนำข้อมูลนั้นไปพลิกแผลงจนเข้าถึงบัญชีของเหยื่อได้

ล่าสุดทีมนักวิจัยจาก Palo Alto Networks ผู้พัฒนาโซลูชั่นด้านการรักษาความปลอดภัยไซเบอร์จากสหรัฐได้ค้นพบช่องโหว่ของผู้ให้บริการระบบคลาวด์ชื่อดังอย่างอะเมซอน อันเกิดจากการตั้งค่าที่ผิดพลาดใน Identity and Access Management (IAM) ซึ่งเป็นระบบบริหารการพิสูจน์ตัวตนและการเข้าถึง 

ความผิดพลาดนี้อาจทำให้แฮกเกอร์ได้บัญชีของผู้ใช้งานระบบไป รวมถึงเห็นโครงสร้างภายในระบบทั้งหมด และสามารถนำไปต่อยอดในการจู่โจมรายบุคคลได้

ทีมนักวิจัยพบว่าผู้คุกคามสามารถโจมตีทั้ง 16 บริการของอะเมซอนได้ โดยเฉพาะบริการขั้นพื้นฐานของ Amazon เช่น บริการพื้นที่เก็บข้อมูล (Amazon Simple Storage Service), บริการจัดการกุญแจเข้ารหัส (Amazon Key Management Service), และบริการจัดการคิวการเข้าใช้ระบบ (Amazon Simple Queue Service)

ความผิดพลาดนี้เกิดขึ้นที่ Application Programming Interface (API) ซึ่งก็คือระบบที่เป็นตัวกลางในการติดต่อระหว่างเครื่องลูกและเครื่องเซิร์ฟเวอร์ การตั้งค่าที่ผิดพลาดนี้ทำให้ระบบหลังบ้านของอะเมซอนจะส่งข้อความระบุข้อผิดพลาดไปหาผู้ที่พยายามเข้าสู่ระบบผ่านเอพีไอได้ไม่ถูกต้อง 

ทำให้แฮกเกอร์สามารถนำข้อมูลไปใช้ตรวจสอบว่าบัญชีที่เรียกผ่านเอพีไอนี้มีตัวตนอยู่ในบัญชีอะเมซอนหรือไม่ และสามารถเรียกใช้เอพีไอเหล่านี้ซ้ำๆ ด้วยหลักการที่แตกต่างกันจนสามารถระบุผู้ใช้และบทบาทในบัญชีของเหยื่อได้ในที่สุด

สาเหตุที่เหยื่อไม่รู้ตัวทั้งๆ ที่บัญชีกำลังถูกแทรกแซงเป็นเพราะการบันทึกเอพีไอและข้อความแสดงความผิดพลาดจะปรากฏเฉพาะในบัญชีของผู้ที่มีการปรับเปลี่ยนหรือก็คือแฮกเกอร์ ทำให้เจ้าของบัญชีไม่สามารถสังเกตจำนวนของการใช้เอพีไอได้เลย 

ลักษณะพิเศษที่สามารถ “อำพรางตัว” ได้แบบนี้ทำให้การตรวจจับและการป้องกันเป็นไปได้ยากสำหรับทีมรักษาความปลอดภัยไซเบอร์ วิธีการนี้ทำให้ผู้โจมตีมีเวลาที่ไม่จำกัดในการลาดตระเวนหาข้อมูลของบัญชีอะเมซอนที่เป็นเป้าหมายหรือจะสุ่มก็ตาม โดยที่ไม่ต้องกังวลว่าจะถูกตรวจพบขณะปฏิบัติการ

การเปลี่ยนไปสู่ระบบคลาวด์แทนการใช้งานแบบเดิมในองค์กร ได้ก่อให้เกิดปัญหาด้านความปลอดภัยใหม่ๆ ทั้งนี้องค์กรควรพยายามให้สิทธิ์แก่ผู้ใช้แต่ละรายน้อยที่สุดเท่าที่จะเป็นไปได้ เพื่อให้ในกรณีที่บัญชีอาจถูกบุกรุกจะเกิดความเสี่ยงน้อยลง ในขณะที่ทีม DevOps ขององค์กรควรจะใช้เครื่องมือมาช่วยตรวจสอบการกำหนดค่า IAM ที่มีอยู่ เพื่อค้นหาจุดอ่อนหรือการกำหนดค่าที่ไม่ถูกต้องและแก้ไขสิ่งเหล่านั้นก่อนที่จะกลายเป็นปัญหาใหญ่

ความผิดพลาดเป็นเรื่องที่เราต้องยอมรับว่าเกิดขึ้นได้ตลอด การเลือกใช้เครื่องมือที่เข้ามาช่วยตรวจสอบจึงเป็นเรื่องสำคัญ เหตุการณ์นี้ทำให้เรารู้ว่าระบบคลาวด์เองก็ไม่ได้ปลอดภัย ในอนาคตเราคงจะได้เห็นความเสี่ยงที่เกิดการใช้คลาวด์มากขึ้น รวมไปถึงความคืบหน้าในการพัฒนาโซลูชั่นที่จะช่วยรักษาความปลอดภัยไซเบอร์เช่นเดียวกันครับ