Vào một buổi sáng tháng 7 năm 2024, Minh, một quản trị viên hệ thống tại một công ty công nghệ lớn, nhận được một email khẩn cấp từ đội ngũ bảo mật. Email này thông báo về một lỗ hổng bảo mật nghiêm trọng mới được phát hiện, mang mã số CVE-2024-6387. Minh ngay lập tức nhận ra mức độ nghiêm trọng của vấn đề và bắt đầu tìm hiểu chi tiết.
Khám phá lỗ hổng
CVE-2024-6387 là một lỗ hổng trong OpenSSH, một công cụ quan trọng được sử dụng rộng rãi để kết nối từ xa vào các máy chủ Linux, có thể dẫn đến thực thi mã từ xa và tấn công từ chối dịch vụ. Lỗ hổng này cho phép kẻ tấn công chạy lệnh tùy ý với quyền root, nghĩa là họ có thể kiểm soát hoàn toàn hệ thống bị ảnh hưởng.
Minh biết rằng anh cần hành động ngay lập tức để bảo vệ hệ thống của mình trên cloud AWS.
Hiểu rõ nguy cơ
Minh nhận ra rằng nếu lỗ hổng này không được khắc phục kịp thời, hệ thống của anh có thể bị tấn công, dẫn đến mất dữ liệu, gián đoạn dịch vụ, và các cuộc tấn công tiếp theo. Anh biết rằng việc cập nhật phần mềm là cần thiết, nhưng anh cũng cần một giải pháp mạnh mẽ hơn để bảo vệ hệ thống của mình.
Giải pháp Amazon Inspector
Trong lúc tìm kiếm giải pháp, Minh nhớ đến Amazon Inspector, một dịch vụ mà anh đã nghe nói đến trong 1 webinar gần đây, nhưng chưa từng sử dụng. Amazon Inspector là một công cụ mạnh mẽ, tự động quét các workload như Amazon EC2, AWS Lambda và container image trong Amazon ECR để phát hiện các lỗ hổng phần mềm và tấn công truy cập mạng ngoài ý muốn.
Nhóm của Minh quyết định triển khai Amazon Inspector trên hệ thống của mình. Amazon Inspector không chỉ giúp anh phát hiện lỗ hổng CVE-2024-6387 mà còn rà soát các lỗ hổng khác và đánh giá theo điểm rủi ro để ưu tiên biện pháp khắc phục, giúp giảm thời gian khắc phục trung bình (MTTR).
Trong khi một nhóm tập trung vào việc cập nhật các hệ thống bị ảnh hưởng lên phiên bản OpenSSH 9.8p1 an toàn hơn thông qua AWS Systems Manager, nhóm khác bắt đầu triển khai các biện pháp giảm thiểu tạm thời. Họ sử dụng các tính năng bảo mật của AWS như Security Group và Network ACL để hạn chế truy cập SSH chỉ từ các địa chỉ IP đáng tin cậy.
Amazon Inspector tiếp tục giám sát quá trình khắc phục, cung cấp báo cáo thời gian thực về tiến độ cập nhật và các lỗ hổng còn tồn tại. Điều này cho phép đội ngũ bảo mật ưu tiên các hành động cần thiết và đảm bảo không bỏ sót bất kỳ hệ thống nào
Kết quả và bài học
Sau nhiều giờ làm việc căng thẳng, cuối cùng tất cả các hệ thống đã được vá lỗi thành công. Tuy nhiên, câu chuyện không dừng lại ở đó. Trải nghiệm với RegreSSHion đã dạy cho Minh một bài học quý giá về tầm quan trọng của việc liên tục giám sát và cập nhật bảo mật, cũng như đảm bảo các best practice về security trên cloud được khuyến nghị từ hãng và các đối tác.
Kể từ đó, Công ty của Minh đã tích hợp Amazon Inspector sâu hơn vào quy trình bảo mật hàng ngày. Công cụ này không chỉ giúp phát hiện các lỗ hổng mới một cách nhanh chóng, mà còn cung cấp thông tin chi tiết để cải thiện tổng thể tư thế bảo mật trên AWS.
Tham khảo những chia sẻ về security trên cloud AWS từ CMC Telecom:
Thanh Dang
Đặng Tuấn Thành là một leader công nghệ với kinh nghiệm sâu rộng trong quản lý dự án và giải pháp cloud chiến lược, với 14 năm kinh nghiệm về phần mềm ứng dụng, hạ tầng vật lý và cloud.
Anh cũng là AWS Ambassador, AWS Community Builder và AWS User Group Leader tại Việt Nam.