សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ ការវាយប្រហារ WhoAMI

ការវាយប្រហារ WhoAMI

ដោយ Mezo ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញការវាយប្រហារបំភាន់ឈ្មោះប្រលោមលោកមួយដែលមានឈ្មោះថា 'whoAMI ។ ' ការវាយប្រហារនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងអាចប្រតិបត្តិកូដនៅក្នុងគណនី Amazon Web Services (AWS) ដោយបោះពុម្ពរូបភាព Amazon Machine Image (AMI) ដែលមានឈ្មោះជាក់លាក់។ ភាពងាយរងគ្រោះនេះមានផលប៉ះពាល់យ៉ាងសំខាន់ ដោយសារវាអាចអនុញ្ញាតឱ្យមានការចូលដំណើរការដោយគ្មានការអនុញ្ញាតទៅកាន់គណនី AWS រាប់ពាន់។

កេងប្រវ័ញ្ចការស្វែងរក AMI ដែលកំណត់រចនាសម្ព័ន្ធខុស

ស្នូល​នៃ​ការ​វាយ​ប្រហារ​នេះ​ស្ថិត​នៅ​ក្នុង​ឧបាយកល​នៃ​ខ្សែ​សង្វាក់​ផ្គត់ផ្គង់។ វាពាក់ព័ន្ធនឹងការដាក់ពង្រាយ AMI ដែលគំរាមកំហែង និងបញ្ឆោតកម្មវិធីដែលបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវឱ្យប្រើវាជំនួសឱ្យកំណែស្របច្បាប់។ ភាពងាយរងគ្រោះនេះមានវត្តមានទាំងនៅក្នុងឃ្លាំងកូដប្រភពបើកចំហ និងឯកជន ដែលធ្វើឱ្យវាក្លាយជាការព្រួយបារម្ភយ៉ាងទូលំទូលាយ។

របៀបដែលការវាយប្រហារដំណើរការ

AWS អនុញ្ញាតឱ្យនរណាម្នាក់បោះផ្សាយ AMIs ដែលជារូបភាពម៉ាស៊ីននិម្មិតដែលប្រើដើម្បីបើកដំណើរការ Elastic Compute Cloud (EC2) instances។ ការវាយប្រហារទាញយកអត្ថប្រយោជន៍ពីការពិតដែលថាអ្នកអភិវឌ្ឍន៍អាចនឹងធ្វេសប្រហែសក្នុងការបញ្ជាក់គុណលក្ខណៈ --owners នៅពេលស្វែងរក AMI ដោយប្រើ ec2:DescribeImages API។

ដើម្បីឱ្យការវាយប្រហារនេះទទួលបានជោគជ័យ លក្ខខណ្ឌខាងក្រោមត្រូវតែបំពេញ៖

  • ការស្វែងរក AMI ពឹងផ្អែកលើតម្រងឈ្មោះ។
  • ការ​ស្វែងរក​មិន​បញ្ជាក់​ពី​ម្ចាស់ ម្ចាស់​ឈ្មោះ​ក្លែងក្លាយ ឬ​ប៉ារ៉ាម៉ែត្រ ID ម្ចាស់​ទេ។
  • សំណើយករូបភាពដែលបានបង្កើតថ្មីៗបំផុត (most_recent=true)។

នៅពេលដែលលក្ខខណ្ឌទាំងនេះស្របគ្នា អ្នកវាយប្រហារអាចបង្កើត AMI ក្លែងបន្លំដែលមានឈ្មោះដែលត្រូវនឹងលំនាំស្វែងរករបស់គោលដៅ។ ជាលទ្ធផល EC2 instance ត្រូវបានចាប់ផ្តើមដោយប្រើ AMI ដែលត្រូវបានសម្របសម្រួលរបស់អ្នកវាយប្រហារ ដោយផ្តល់សមត្ថភាពប្រតិបត្តិកូដពីចម្ងាយ (RCE) និងបើកដំណើរការសកម្មភាពក្រោយការកេងប្រវ័ញ្ច។

ភាពស្រដៀងគ្នាទៅនឹងការវាយប្រហារនៃភាពច្របូកច្របល់ក្នុងភាពអាស្រ័យ

ការវាយប្រហារនេះមានភាពស្រដៀងគ្នាទៅនឹងការកេងប្រវ័ញ្ចច្រលំនៃភាពអាស្រ័យ ដែលភាពអាស្រ័យនៃកម្មវិធីដែលមិនមានសុវត្ថិភាព (ដូចជាកញ្ចប់ pip) ជំនួសកន្លែងស្របច្បាប់។ ទោះយ៉ាងណាក៏ដោយ នៅក្នុងការវាយប្រហារ whoAMI ធនធានដែលត្រូវបានសម្របសម្រួលគឺជារូបភាពម៉ាស៊ីននិម្មិត ជំនួសឱ្យការពឹងផ្អែកលើកម្មវិធី។

វិធានការឆ្លើយតប និងសុវត្ថិភាពរបស់ក្រុមហ៊ុន Amazon

បន្ទាប់ពីការលាតត្រដាងនៃការវាយប្រហារនេះនៅថ្ងៃទី 16 ខែកញ្ញា ឆ្នាំ 2024 ក្រុមហ៊ុន Amazon បានឆ្លើយតបភ្លាមៗ និងដោះស្រាយបញ្ហានេះក្នុងរយៈពេលបីថ្ងៃ។ Apple ក៏បានទទួលស្គាល់ផងដែរថា អតិថិជនដែលទាញយក AMI IDs តាមរយៈ ec2:DescribeImages API ដោយមិនបញ្ជាក់ពីតម្លៃម្ចាស់គឺមានគ្រោះថ្នាក់។

ដើម្បីកាត់បន្ថយការគំរាមកំហែងនេះ AWS បានណែនាំមុខងារសុវត្ថិភាពថ្មីមួយហៅថា Allowed AMIs ក្នុងខែធ្នូ ឆ្នាំ 2024។ ការកំណត់ពេញគណនីនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដាក់កម្រិតលើការរកឃើញ និងការប្រើប្រាស់ AMIs នៅក្នុងគណនី AWS របស់ពួកគេ ដោយកាត់បន្ថយផ្ទៃនៃការវាយប្រហារយ៉ាងខ្លាំង។ អ្នកជំនាញផ្នែកសន្តិសុខណែនាំឱ្យអតិថិជន AWS វាយតម្លៃ និងអនុវត្តការគ្រប់គ្រងថ្មីនេះ ដើម្បីការពារបរិស្ថានពពករបស់ពួកគេពីការវាយប្រហារច្រឡំឈ្មោះ។


កំពុង​ផ្ទុក...