雲端服務的運作相當複雜,尤其是有許多服務於背景運作,甚至有可能作為其他服務運作的其中一環,若是這些服務運作的方式不夠安全,很有可能引發嚴重的後果。
資安業者Aqua Security的研究人員於今年2月,找到6個AWS重大層級的漏洞,並指出這些漏洞可讓攻擊者破壞所有帳號,有可能導致帳號遭到接管,或是遠端執行任意程式碼、資料外洩、曝露義感資料、引發服務中斷的情形。對此,AWS獲報後進行相關驗證,並自3月至6月逐步完成修補。研究人員也在黑帽大會上公布相關的調查結果。
這些漏洞主要偏重於「影子資源」的層面,這類資源的來源,是使用者在進行AWS服務的相關設定過程裡,由系統在背景自動產生的資源,因此這類資源的運作狀態,一般使用者往往不會特別留意。
而對於漏洞的影響範圍,研究人員指出涵蓋多項服務,包括:CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStar。使用者首次在新地點建立服務的過程裡,系統會自動建立具有特定名稱的S3儲存桶,這個名稱包含用ID、服務名稱、地區。
其中一個漏洞被稱做Bucket Monopoly,起因是S3儲存桶使用了容易被猜到的AWS帳號ID,由於這個ID原本不被視為敏感資料,而讓攻擊者有機可乘。
攻擊者可藉由上述儲存桶名稱可預測的規則,搶在目標用戶之前在其他地區的資料中心建立儲存桶並植入惡意程式碼,使得受害組織試圖在新區域啟用服務時,惡意程式碼便會不知不覺在組織的環境內執行,從而讓攻擊者建立管理員帳號並取得控制權。
研究人員指出,根據他們的分析,這種ID應被視為機密,因為攻擊者一旦取得這類資料,就有機會進行相關攻擊。就算攻擊者無法直接破解控制使用者帳號,但還是能藉由這項資訊,收集用戶的各式資料。
針對這項問題,AWS已變更預設組態,經過調整的服務將不會自動產生儲存桶的名稱,若是儲存桶名稱已經存在,系統則會加上隨機的識別碼。
另一個研究人員公布的弱點被稱為Shadow Resources,攻擊者可在使用者不知情的狀態下,藉此產生AWS S3的服務元件。
研究人員起初在CloudFormation察覺此事,攻擊者可在目標用戶尚未啟用的AWS地區當中,使用現有的堆疊及名稱建立帳號,來搶占資源,當受害者將工作負載轉移到新區域,就有可能不知不覺使用攻擊者控制的S3儲存桶而受到控制。
這項弱點發生的原因在於,使用者透過AWS管理主控臺在CloudFormation建立堆疊的過程中,AWS會自動建立存放CloudFormation範本的S3儲存桶,而這個儲存桶的名稱也同樣具備相同的特性,使得攻擊者有機會用來發動攻擊。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-26