Amazon Web Services (AWS) ได้ออกประกาศแจ้งเตือนด้านความปลอดภัยที่สำคัญ เพื่อแก้ไขช่องโหว่ระดับ Critical 3 รายการใน Research and Engineering Studio (RES) (more…)

เกิดเหตุการณ์ไฟฟ้าดับครั้งใหญ่ที่ศูนย์ข้อมูล AWS ภูมิภาคตะวันออกกลาง (me-central-1) เมื่อวันที่ 1 มีนาคม 2026 ที่ผ่านมา หลังจากถูกวัตถุภายนอกพุ่งชนจนเกิดเพลิงไหม้ ซึ่งเหตุการณ์ดังกล่าวส่งผลให้บริการ Amazon Elastic Compute Cloud (EC2), เครือข่าย API และทรัพยากรต่าง ๆ ประสบปัญหาขัดข้องอย่างรุนแรงในโซนให้บริการ mec1-az2

(more…)

เหตุการณ์ AWS ล่มครั้งใหญ่ ส่งผลให้เว็บไซต์ และแพลตฟอร์มยอดนิยมจำนวนมากไม่สามารถใช้งานได้ รวมถึง Amazon.

กลุ่ม 'Crimson Collective' ได้มุ่งเป้าโจมตี AWS (Amazon Web Services) cloud environments ในช่วงหลายสัปดาห์ที่ผ่านมา เพื่อขโมยข้อมูล และข่มขู่เรียกค่าไถ่จากบริษัทต่าง ๆ

(more…)

แคมเปญการโจมตีแบบกำหนดเป้าหมายได้ใช้ประโยชน์จากช่องโหว่ Server-Side Request Forgery (SSRF) บนเว็บไซต์ที่โฮสต์อยู่บน AWS EC2 เพื่อดึงข้อมูล EC2 Metadata  ซึ่งอาจรวมถึงข้อมูล Credentials ในส่วนของ Identity และ Access Management (IAM) จากปลายทาง IMDSv1 (more…)

บทนำ

AWS SSM Session Manager เป็นเครื่องมือที่ทำให้สามารถ Remote เข้าไปยัง EC2 Instances ได้โดยไม่ต้องเปิดการเข้าถึงจาก Internet ซึ่งถือเป็น Best Practice ที่ทาง Amazon Web Services (AWS) แนะนำ แทนการใช้ Secure Shell (SSH) เนื่องจากความเสี่ยงในการเปิด Port SSH ให้เข้าถึงได้จาก Internet

SSM Session Manager มีหลายฟีเจอร์ โดยหนึ่งใน​ feature คือ port forwarding ที่ช่วยสร้างช่องทางการเชื่อมต่อผ่าน SSM Service ระหว่างผู้ใช้งานกับ EC2 Instances ได้อย่างปลอดภัยโดยไม่ต้องมีการเปิด Port ใด ๆ (more…)

แอปพลิเคชันจำนวน 15,000 รายการที่ใช้ Application Load Balancer (ALB) ของ Amazon Web Services (AWS) สำหรับการยืนยันตัวตน อาจมีความเสี่ยงต่อปัญหาที่เกี่ยวข้องกับการตั้งค่า ซึ่งอาจทำให้แอปพลิเคชันเหล่านี้สามารถหลีกเลี่ยงการควบคุมการเข้าถึง และก่อให้เกิดความเสี่ยงต่อแอปพลิเคชันได้

(more…)

SCARLETEEL ถูกพบโดย Sysdig บริษัทด้านความปลอดภัยทางไซเบอร์ในขณะที่ทำการวิเคราะห์เหตุการณ์การโจมตีทางไซเบอร์บนระบบคลาวด์ให้กับลูกค้ารายหนึ่ง

สำหรับปฏิบัติการดังกล่าวของ 'SCARLETEEL' จะกำหนดเป้าหมายไปที่เว็บแอปพลิเคชันที่ทำงานภายใต้ containers เพื่อทำให้การโจมตีสามารถเข้าถึงบริการ cloud services และขโมยข้อมูลที่มีความสำคัญออกไปได้ (more…)

Introduction
โดยปกติแล้วภายหลังจากที่ผู้โจมตีสามารถเข้าควบคุม AWS account ของเหยื่อได้แล้ว มักจะพบการใช้เทคนิคในการพยายามแฝงตัวอยู่ในระบบ (persistence) บน AWS เช่น การสร้าง IAM User และ Create access key หรือการสร้าง/แก้ไข Role trust policy ให้สามารถ Assume Role จาก account ของผู้โจมตีได้ แต่วิธีการเหล่านี้ถือว่าค่อนข้างง่ายต่อการถูกตรวจจับ

ในวันที่ 06 เมษายน 2022 AWS ประกาศ Lambda ฟีเจอร์ใหม่ที่ชื่อว่า Lambda function URLs [1] ซึ่งทำให้ Lambda function สามารถมี API Endpoint ได้โดยไม่ต้องใช้ API Gateway (more…)

สรุปรายละเอียดของช่องโหว่

ช่องโหว่เกิดขึ้นบน undocumented API ที่เกี่ยวข้องกับการเขียน Image
ช่องโหว่ทำให้สามารถแก้ไข้ Public ECR images ของ AWS account ใดก็ได้
ช่องโหว่ทำให้สามารถใช้โจมตี Image ที่เป็นนิยมเช่น Nginx, Amazon Linux, Ubuntu เพื่อใช้โจมตีแบบ Supply chain attack ได้

Amazon ECR Public Gallery เป็น public container repositories ให้บริษัทต่าง ๆ สามารถนำ Container Image มา Host เพื่อให้บริการกับลูกค้าเช่น NGINX, Ubuntu, Amazon Linux และ HashiCorp

นักวิจัยจาก Lightspin ค้นหา Internal API action ใน Amazon ECR Public Gallery JavaScript File พบว่ามี Action Name บางตัวที่ไม่ได้ถูก Document ไว้ และเป็น Action ที่เกียวข้องกับการเขียน Image 4 ตัวดังนี้

- DeleteImageForConvergentReplicationInternal
- DeleteTagForConvergentReplicationInternal
- PutImageForConvergentReplicationInternal
- PutLayerForConvergentReplicationInternal

แต่ว่า Internal API จำเป็นต้องมี identity credentials นักวิจัยจึงทำการ Intercept ECR Public Gallery request พบว่า ECR Public Gallery ใช้ credentials ที่ได้มาจาก API ของ Amazon Cognito

Amazon Cognito เป็น service ทีช่วยเรื่องการ authentication เพื่อให้ user สามารถเข้าใช้ resources บน AWS ได้ โดยที่ API ในการ Get Credentials เป็น Public API ทำให้นักวิจัยสามารถนำ Credentials นี้ไปใช้กับ ECR Internal API ได้

นักวิจัยจึงทำการทดลองส่ง Internal API 4 ตัวดังกล่าว ทำให้พบว่า Credentials ที่ได้มาจาก Cognito มีสิทธ์เขียน Public Image ใด ๆ ก็ได้ ชึ่งทำให้ช่องโหว่นี้อาจนำมาใช้โจมตีแบบ Supply chain attack กับ Public Image ที่มีผู้ใช้งานหลายล้านคนได้ ทาง Lightspin จึงได้รายงานช่องโหว่นี้กับทีม AWS Security

วิธีแก้ไข:

AWS ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ

ที่มา: blog.