新漏洞凸顯公有云信任風險

主要的雲服務提供商很容易受到攻擊，因為使用受信任的核心服務可以將單個漏洞轉化為全域性攻擊。

雲安全公司Orca Security在1月13日釋出的一份分析報告中表示，亞馬遜網路服務已修復其核心服務中的兩個漏洞，其中一個漏洞可能允許任何使用者訪問和控制任何公司的基礎設施。

雖然漏洞現已修復，但涉及破壞核心服務、提升許可權以及使用該許可權攻擊其他使用者的攻擊鏈並不限於亞馬遜。Orca Security的技術長Yoav Alon稱，這種方法影響了許多其他雲供應商。他表示，問題的核心是服務之間缺乏隔離，以及不同服務和使用者許可權的粒度太小。

他表示，這些很可能將是下一波重大漏洞，因為我們將信任從資料中心轉移到了雲服務，而云提供商出現的問題或安全漏洞將會影響到使用者，甚至完全不知情。

兩個漏洞中最嚴重的一個出現在AWS Glue中，這是一種無伺服器整合服務，允許AWS使用者管理、清理和轉換資料，並讓使用者的其他服務可以使用資料儲存。利用這個漏洞，攻擊者可以危害服務併成為管理員——而且由於Glue服務是受信任的，他們可以使用自己的角色訪問其他使用者的環境。

Orca公司在其報告中表示，該漏洞允許Orca的研究人員“將該賬戶的許可權升級到可以不受限制地訪問該地區所有服務資源，包括完整的管理許可權”。

Orca的研究人員可以在與Glue服務有信任關係的其他AWS客戶賬戶中擔任角色。Orca 認為每個使用Glue服務的帳戶至少有一個信任Glue服務的角色。

CloudFormation (CF) 服務中的第二個漏洞允許使用者預置資源和雲資產，這使得研究人員破壞CF伺服器，並作為AWS基礎設施服務執行。Orca Security在第二份公告中表示，該漏洞是一個XML外部實體 (XXE) 問題，可能允許攻擊穿透隔離不同AWS使用者的保護措施。

亞馬遜方表示，在意識到一個與AWS Glue ETL和AWS CloudFormation有關的問題後，可以確認沒有AWS客戶賬戶或資料受到影響。並在從Orca Security獲悉此事後，立即採取行動，在數小時內緩解了問題，並對服務進行了額外控制，以防止再次發生此類事件。

Orca的研究人員表示，雲服務提供商應該努力改善其服務的隔離性，以防止攻擊者利用核心服務中的漏洞破壞整個雲服務的安全模型。2021年8月，類似的問題影響了Azure，當時雲安全公司Wiz.io的研究人員發現微軟整合Jupyter Notebooks、資料科學功能及其 Cosmo DB資料庫即服務的方式存在缺陷。透過使用Jupyter Notebooks，攻擊者可以訪問其他使用者的Cosmo DB例項。

AWS的漏洞凸顯了雲模型的優點和缺點。影響雲服務提供商的安全問題通常會使每個客戶都面臨風險，而大多數客戶在保護資料和環境方面幾乎無能為力。與廣泛存在的軟體問題(如Log4j漏洞)相比，安全和IT團隊可以修補這個問題，監視攻擊，並採取變通辦法。

儘管如此，消除Log4j問題仍然是一個問題，因為不同的公司修補這個漏洞的速度不同。Orca發現，在問題被披露兩週後，四分之三的客戶仍然容易受到Log4j漏洞的攻擊。

軟體安全是網路安全的基礎組成部分，在軟體開發期間透過 靜態程式碼檢測可以查詢識別程式碼缺陷及潛在的安全漏洞，不但有助於提高軟體安全性，此時修復更可以節省大量時間和經濟開銷。

據安全公司稱，亞馬遜在48小時內修復了Orca發現的Glue漏洞，並在6天內修復了CloudFormation 問題。

“雲提供商在安全方面做得非常出色，但仍然存在問題，”安全人員說。“如果他們更好地劃分並在他們的服務中建立更好的許可權系統，它將防止很多此類問題。如果他們的服務出現安全漏洞，他們還需要更好地分割他們的網路並擁有更好的安全模型。”

文章來源：