亞夸安全研究員披露一系列亞馬遜雲端服務漏洞

本週在美國黑帽大會(Black Hat USA 2024)上,Aqua Security公司透露,他們發現了亞馬遜網路服務(AWS)雲端服務中存在六個安全漏洞。

這些已經獲得修補的漏洞包括遠端程式碼執行(RCE)、可能升級為管理員權限的完整服務使用者接管、人工智慧(AI)模組操縱、敏感資料外洩、資料外洩和阻斷服務攻擊。

這些漏洞發生在以下AWS服務中:CloudFormation、Glue、EMR、SageMaker、ServiceCatalog和CodeStar。當在新區域首次建立任一服務時,系統會自動建立一個S3儲存貯體,其名稱由服務名稱、AWS帳號ID和區域名稱組成。因此,跨所有AWS區域,儲存貯體名稱除了區域名稱不同外,其餘部分都相同。

Aqua Nautilus研究人員發現,駭客可以發現或猜測這些儲存貯體的可預測命名部分。隨後,使用所謂的「Bucket Monopoly」方法,駭客可以預先在所有可用區域建立這些儲存貯體,實際上進行一種「佔地」行為,然後在儲存貯體中存放惡意程式碼。

當目標組織在新區域首次啟用該服務時,就會在不知情的情況下執行惡意程式碼,可能導致在目標組織中建立管理員使用者,讓駭客獲得控制權。

Aqua Nautilus研究團隊資深領導人Assaf Morag表示,這些問題主要源於AWS對雲端服務的配置方式,網路安全團隊應檢查其他雲端服務是否存在類似錯誤。目前沒有證據顯示駭客已能利用這些漏洞,但他們通常也不會揭露所使用的tactics和techniques。

雲端運算服務推出逾十年後,組織仍在努力解決雲端安全問題。一般而言,除了Aqua Security發現的AWS問題外,基礎雲端基礎架構平台比內部部署平台更安全。然而,在雲端配置和部署應用程式的流程仍然存在漏洞。許多雲端服務是由開發人員直接配置的,他們通常缺乏網路安全專業知識。

同時,由於在這些平台上部署的工作負載具有高度動態特性,確保雲端安全也更具挑戰性。每天對這些平台進行多次變更並不罕見。網路安全團隊難以跟上這種變更速度,儘管他們應對確保雲端安全負有責任。

不過,正面看來,現在比以往任何時候都更關注雲端安全。Morag指出,隨著越來越多工作負載部署在雲端,專注於雲端安全的研究人員數量也持續增加。

不幸的是,駭客也熱衷閱讀這些研究成果,因此,一旦發現漏洞,組織必須在更短時間內解決的壓力就會增加,而人工智慧(AI)工具有望簡化任何人發現並利用漏洞的過程,這個問題只會越來越嚴重。