Các chuyên gia bảo mật đã phát hiện ra những lỗ hổng nghiêm trọng trong AWS Organizations, theo một nghiên cứu đột phá của Cymulate Research Labs. Những lỗ hổng này có thể cho phép kẻ tấn công chuyển đổi giữa các tài khoản, leo thang đặc quyền và chiếm quyền kiểm soát toàn bộ tổ chức trong môi trường đám mây của Amazon Web Services.

Nghiên cứu tập trung vào cách các cơ chế ủy quyền (delegation mechanisms) bị cấu hình sai, vốn được thiết kế như một biện pháp thực hành tốt nhất để phân phối các tác vụ quản trị, có thể bị kẻ thù vũ khí hóa để khai thác các tính năng hợp pháp nhằm duy trì quyền truy cập (persistence) và di chuyển ngang (lateral movement) trong các môi trường đa tài khoản.

Mặc dù AWS khuyến khích việc sử dụng tài khoản quản trị viên được ủy quyền (delegated administrators) để giảm sự phụ thuộc vào tài khoản quản lý có đặc quyền cao (highly privileged management account), nhưng những thiết lập này lại tạo ra các bề mặt tấn công tiềm ẩn nếu không được bảo mật đúng cách. Chẳng hạn, việc xâm nhập vào một tài khoản quản trị viên được ủy quyền sẽ cấp quyền hiển thị toàn tổ chức (organization-wide visibility) vào các tài khoản và Đơn vị Tổ chức (Organizational Units – OUs), cho phép kẻ tấn công lập bản đồ các mục tiêu giá trị cao và lên kế hoạch leo thang tinh vi.

Nghiên cứu nhấn mạnh các dịch vụ như AWS IAM Identity Center (trước đây là SSO) và CloudFormation StackSets là đặc biệt nhạy cảm, nơi việc lạm dụng ủy quyền có thể thay đổi các bộ quyền (permission sets) hoặc triển khai các stack độc hại trên tất cả các tài khoản thành viên, từ đó trao quyền kiểm soát gần như tuyệt đối.

Điểm yếu cốt lõi: Quyền bị mở rộng quá mức trong AmazonGuardDutyFullAccess_v1

Điểm mấu chốt của phát hiện này là một quyền bị mở rộng quá mức (over-scoped permission) chưa được xác định trước đây trong chính sách được quản lý (managed policy) gốc AmazonGuardDutyFullAccess (phiên bản 1). Quyền này vô tình cho phép các chủ thể (principals) trong tài khoản quản lý đăng ký quản trị viên được ủy quyền cho bất kỳ dịch vụ được hỗ trợ nào, không chỉ riêng GuardDuty. Sai sót này xuất phát từ hành động organizations:RegisterDelegatedAdministrator không bị hạn chế.

Theo thiết kế, chính sách AmazonGuardDutyFullAccess_v1 lẽ ra chỉ nên cho phép ủy quyền các tác vụ liên quan đến dịch vụ GuardDuty. Tuy nhiên, việc mở rộng quyền này ra khỏi phạm vi GuardDuty đã tạo ra một khe hở bảo mật nghiêm trọng. Kẻ tấn công có thông tin đăng nhập bị lộ trong tài khoản quản lý (management account) có thể lợi dụng kẽ hở này để ủy quyền các dịch vụ nhạy cảm như IAM Identity Center hoặc CloudFormation StackSets cho một tài khoản thành viên (member account) mà chúng đang kiểm soát. Điều này cho phép kẻ tấn công mở rộng phạm vi kiểm soát của mình vượt ra ngoài tài khoản bị xâm nhập ban đầu, thâm nhập sâu hơn vào kiến trúc AWS của tổ chức.

Kịch bản khai thác lỗ hổng

Trong một cuộc khai thác được mô phỏng, các nhà nghiên cứu đã chứng minh cách một kẻ tấn công có thể bắt đầu với quyền truy cập hạn chế, chẳng hạn như thông tin đăng nhập bị lộ (leaked keys) từ một vai trò quản lý GuardDuty. Với quyền truy cập này, kẻ tấn công có thể thực hiện các bước sau:

1. Lợi dụng quyền organizations:RegisterDelegatedAdministrator: Sử dụng khóa bị lộ trong tài khoản quản lý (management account) để kích hoạt hành động organizations:RegisterDelegatedAdministrator. Do quyền này trong AmazonGuardDutyFullAccess_v1 không bị hạn chế, kẻ tấn công có thể đăng ký một tài khoản thành viên đã bị xâm nhập làm quản trị viên được ủy quyền cho một dịch vụ nhạy cảm khác, ví dụ như IAM Identity Center.
2. Kiểm soát IAM Identity Center: Một khi tài khoản bị kiểm soát được ủy quyền cho IAM Identity Center, kẻ tấn công có thể thao túng các nhóm và bộ quyền (permission sets) trên toàn tổ chức. Điều này bao gồm khả năng tạo người dùng mới, điều chỉnh quyền truy cập của người dùng hiện có, hoặc thậm chí cấp quyền quản trị (administrative access) cho các tài khoản mà chúng kiểm soát, bao gồm cả quyền truy cập vào chính tài khoản quản lý.
3. Duy trì và leo thang qua CloudFormation StackSets: Với quyền kiểm soát cấp cao, kẻ tấn công có thể sử dụng CloudFormation StackSets để triển khai các backdoor hoặc các tài nguyên độc hại trên tất cả các tài khoản thành viên trong AWS Organizations. StackSets cho phép triển khai tài nguyên đồng nhất trên nhiều tài khoản và khu vực, biến nó thành một công cụ mạnh mẽ để duy trì quyền truy cập (persistence) và mở rộng phạm vi tấn công. Kẻ tấn công cũng có thể đặt lại thông tin đăng nhập (reset credentials) để đảm bảo duy trì quyền truy cập lâu dài.
4. Trốn tránh phát hiện: Toàn bộ chuỗi tấn công này có thể diễn ra trong khi kẻ tấn công mô phỏng các hành động quản trị hợp pháp, khiến việc phát hiện trở nên khó khăn. Việc lạm dụng các tính năng ủy quyền hợp lệ giúp hành vi độc hại hòa nhập vào luồng hoạt động bình thường của môi trường AWS.

Kịch bản này minh họa một lộ trình từ quyền truy cập ban đầu bị hạn chế đến việc chiếm đoạt toàn bộ tổ chức AWS, tận dụng một điểm yếu kỹ thuật cụ thể trong chính sách của AWS.

Phản hồi và Biện pháp khắc phục từ AWS

AWS đã nhanh chóng giải quyết vấn đề bằng cách phát hành chính sách AmazonGuardDutyFullAccess_v2. Phiên bản mới này giới hạn quyền ủy quyền nghiêm ngặt chỉ trong phạm vi GuardDuty, loại bỏ hoàn toàn đường dẫn leo thang đặc quyền đã bị lạm dụng.

Công ty đã chủ động thông báo cho các khách hàng bị ảnh hưởng qua email và trên Health Dashboard của họ, nhấn mạnh sự cần thiết phải cập nhật thủ công các vai trò (roles) và người dùng (users) từ phiên bản 1 lên phiên bản 2. AWS đã tránh nâng cấp tự động để ngăn ngừa bất kỳ sự gián đoạn nào đối với các quy trình làm việc hiện có của khách hàng. Điều này có nghĩa là các tổ chức sử dụng phiên bản 1 của chính sách cần thực hiện các hành động cần thiết để chuyển đổi sang phiên bản mới.

Bắt đầu từ ngày 26 tháng 8 năm 2025, các liên kết (attachments) tới chính sách cũ (phiên bản 1) sẽ bị chặn. Tuy nhiên, các liên kết hiện có sẽ vẫn hoạt động cho đến khi chúng được cập nhật. Điều này cung cấp một khoảng thời gian chuyển đổi cho các tổ chức để thực hiện các thay đổi cần thiết mà không gây ra gián đoạn ngay lập tức, nhưng cũng đặt ra một thời hạn rõ ràng cho việc di chuyển.

Theo báo cáo của Cymulate, nhóm của họ đã ca ngợi phản ứng hợp tác của AWS thông qua quy trình công bố phối hợp (coordinated disclosure), nhấn mạnh tầm quan trọng của các quan hệ đối tác như vậy trong việc bảo mật hệ sinh thái đám mây.

Khuyến nghị và biện pháp giảm thiểu rủi ro

Để giảm thiểu những rủi ro này, các tổ chức được khuyến nghị thực hiện các hành động sau:

• Kiểm tra toàn diện các ủy quyền (Audit Delegations): Thực hiện kiểm tra định kỳ tất cả các ủy quyền hiện có trong AWS Organizations của bạn. Lập bản đồ các tài khoản được ủy quyền và các dịch vụ liên quan để phân loại chúng theo các cấp độ nhạy cảm.
• Xử lý IAM Identity Center như tài sản cấp 0 (Tier 0 Assets): Coi các ủy quyền liên quan đến IAM Identity Center (trước đây là SSO) là tài sản cực kỳ nhạy cảm (Tier 0 assets) và áp dụng các biện pháp kiểm soát nghiêm ngặt nhất cho chúng. Điều này bao gồm việc giới hạn quyền truy cập, giám sát chặt chẽ, và đảm bảo tuân thủ nguyên tắc đặc quyền tối thiểu.
• Giám sát CloudTrail: Thiết lập giám sát liên tục trên CloudTrail để phát hiện các sự kiện như RegisterDelegatedAdministrator. Bất kỳ hoạt động nào liên quan đến việc đăng ký quản trị viên được ủy quyền nên được xem xét kỹ lưỡng và cảnh báo ngay lập tức nếu chúng không phù hợp với các hoạt động quản trị đã biết.
• Mô phỏng kịch bản tấn công: Cymulate đã phát hành một công cụ mô phỏng tấn công kết hợp lạm dụng ủy quyền với khai thác chính sách. Các tổ chức nên sử dụng các công cụ tương tự hoặc thực hiện các cuộc diễn tập mô phỏng tấn công trong môi trường được kiểm soát để kiểm tra và tối ưu hóa khả năng phát hiện và phản ứng của mình.
• Đánh giá lại cấu hình ủy quyền: Thường xuyên xem xét và đánh giá lại tất cả các cấu hình ủy quyền hiện có. Đảm bảo rằng chỉ những dịch vụ và tài khoản thực sự cần thiết mới được ủy quyền.
• Thực thi chính sách đặc quyền tối thiểu (Least-Privilege Policies): Luôn tuân thủ nguyên tắc đặc quyền tối thiểu, cấp cho người dùng và vai trò chỉ những quyền cần thiết để thực hiện công việc của họ. Điều này giúp giảm thiểu bề mặt tấn công và hạn chế tác động nếu một tài khoản bị xâm nhập.

Bằng cách đánh giá lại các cấu hình ủy quyền và thực thi các chính sách đặc quyền tối thiểu, người dùng AWS có thể biến những điểm yếu tiềm ẩn này thành tư thế bảo mật vững chắc hơn, biến một câu chuyện cảnh báo thành cơ hội để nâng cao khả năng phục hồi trong các thiết lập đa tài khoản.

Nghiên cứu này không chỉ làm sáng tỏ các vectơ tấn công bị bỏ qua mà còn trao quyền cho các nhà phòng thủ để đi trước một bước trong bối cảnh mối đe dọa đám mây đang phát triển không ngừng.