主要的云服务提供商很容易受到攻击,因为使用受信任的核心服务可以将单个漏洞转化为全局攻击。
云安全公司Orca Security在1月13日发布的一份分析报告中表示,亚马逊网络服务已修复其核心服务中的两个漏洞,其中一个漏洞可能允许任何用户访问和控制任何公司的基础设施。
虽然漏洞现已修复,但涉及破坏核心服务、提升权限以及使用该权限攻击其他用户的攻击链并不限于亚马逊。Orca Security的首席技术官Yoav Alon称,这种方法影响了许多其他云供应商。他表示,问题的核心是服务之间缺乏隔离,以及不同服务和用户权限的粒度太小。
他表示,这些很可能将是下一波重大漏洞,因为我们将信任从数据中心转移到了云服务,而云提供商出现的问题或安全漏洞将会影响到使用者,甚至完全不知情。
两个漏洞中最严重的一个出现在AWS Glue中,这是一种无服务器集成服务,允许AWS用户管理、清理和转换数据,并让用户的其他服务可以使用数据存储。利用这个漏洞,攻击者可以危害服务并成为管理员——而且由于Glue服务是受信任的,他们可以使用自己的角色访问其他用户的环境。
Orca公司在其报告中表示,该漏洞允许Orca的研究人员“将该账户的权限升级到可以不受限制地访问该地区所有服务资源,包括完整的管理权限”。
Orca的研究人员可以在与Glue服务有信任关系的其他AWS客户账户中担任角色。Orca 认为每个使用Glue服务的帐户至少有一个信任Glue服务的角色。
CloudFormation (CF) 服务中的第二个漏洞允许用户预置资源和云资产,这使得研究人员破坏CF服务器,并作为AWS基础设施服务运行。Orca Security在第二份公告中表示,该漏洞是一个XML外部实体 (XXE) 问题,可能允许攻击穿透隔离不同AWS用户的保护措施。
亚马逊方表示,在意识到一个与AWS Glue ETL和AWS CloudFormation有关的问题后,可以确认没有AWS客户账户或数据受到影响。并在从Orca Security获悉此事后,立即采取行动,在数小时内缓解了问题,并对服务进行了额外控制,以防止再次发生此类事件。
Orca的研究人员表示,云服务提供商应该努力改善其服务的隔离性,以防止攻击者利用核心服务中的漏洞破坏整个云服务的安全模型。2021年8月,类似的问题影响了Azure,当时云安全公司Wiz.io的研究人员发现微软集成Jupyter Notebooks、数据科学功能及其 Cosmo DB数据库即服务的方式存在缺陷。通过使用Jupyter Notebooks,攻击者可以访问其他用户的Cosmo DB实例。
AWS的漏洞凸显了云模型的优点和缺点。影响云服务提供商的安全问题通常会使每个客户都面临风险,而大多数客户在保护数据和环境方面几乎无能为力。与广泛存在的软件问题(如Log4j漏洞)相比,安全和IT团队可以修补这个问题,监视攻击,并采取变通办法。
尽管如此,消除Log4j问题仍然是一个问题,因为不同的公司修补这个漏洞的速度不同。Orca发现,在问题被披露两周后,四分之三的客户仍然容易受到Log4j漏洞的攻击。
软件安全是网络安全的基础组成部分,在软件开发期间通过静态代码检测可以查找识别代码缺陷及潜在的安全漏洞,不但有助于提高软件安全性,此时修复更可以节省大量时间和经济开销。
据安全公司称,亚马逊在48小时内修复了Orca发现的Glue漏洞,并在6天内修复了CloudFormation 问题。
“云提供商在安全方面做得非常出色,但仍然存在问题,”安全人员说。“如果他们更好地划分并在他们的服务中创建更好的权限系统,它将防止很多此类问题。如果他们的服务出现安全漏洞,他们还需要更好地分割他们的网络并拥有更好的安全模型。”
文章来源:
