新的研究表明,被遗弃的云存储桶构成了一个重大但往往被忽视的互联网安全威胁。
这一风险源于攻击者发现并重新注册这些被忽略的数字存储库,并利用它们传播恶意软件或执行其他针对仍然请求其文件的用户的恶意行为。
这一威胁并非仅仅是理论上的,实际上它极其容易被利用。研究人员最近发现了这一漏洞,该研究是他们去年关于已过期和被遗弃的互联网域名风险研究的延续。
在这项最新研究中,研究人员首先在互联网上搜索 Amazon AWS S3 存储桶,这些存储桶在部署代码或软件更新机制中被引用。随后,他们检查这些机制是否从 S3 存储桶中下载未签名或未经验证的可执行文件或代码。研究人员发现,大约 150 个 S3 存储桶曾被政府机构、财富 500 强公司、科技公司、网络安全供应商或主要的开源项目用于软件部署、更新、配置等用途,但后来被遗弃。
为了测试可能发生的情况,研究人员以大约 400 美元的总成本使用原始名称重新注册了这些未被使用的存储桶,并在其上启用了日志记录,以观察谁在请求这些存储桶中的文件,以及他们具体请求了什么。令人惊讶的是,在两个月的时间内,这些 S3 存储桶收到了惊人的 800 万个文件请求,其中许多请求都可能被研究人员轻松地用恶意软件或其他恶意行为来响应。
向这些被遗弃的 S3 存储桶请求文件的机构包括美国、英国、澳大利亚及其他国家的政府机构、财富 100 强公司、一家主要的支付卡网络、一家工业产品公司、全球及区域性银行,以及网络安全公司。
研究人员在报告中表示,我们并没有在 S3 存储桶被删除时‘抢注’,也没有使用任何‘高级’技术来注册这些 S3 存储桶。我们只是……在输入框中输入名称,然后用一根手指点击注册。
分析显示,这些 S3 存储桶收到的请求涵盖各种文件类型,包括软件更新、未签名的 Windows、Linux 和 macOS 二进制文件、虚拟机镜像、JavaScript 文件、SSL VPN 配置文件,以及用于 AWS 云基础设施服务定义和配置的 CloudFormation 模板。
如果研究人员愿意,他们可以轻松地响应这些请求,例如提供恶意软件更新、上传一个能让他们访问请求方 AWS 环境的模板,或提供一个植入后门的虚拟机。
“恐怖般简单”的云端网络攻击媒介?
研究人员研究的主要结论是,黑客可以利用这种相对不为人知的被遗弃基础设施漏洞,以恐怖般简单的方式发动类似 SolarWinds 规模的供应链攻击。
虽然研究主要集中在 AWS 存储桶上,但研究人员指出,任何被遗弃的云存储资源只要能被重新注册并使用相同的名称,都存在相同的风险。
这绝对不是 AWS 独有的问题。然而,AWS 客户需要意识到,一旦创建、使用并在代码中引用了云资源——例如在软件更新流程或部署手册中——这种引用将永久存在。这种引用的影响将持续存在。
研究人员已尝试敦促 AWS 阻止对曾经使用过的 S3 存储桶名称的重新注册。
研究人员称,我们一遍又一遍地向 AWS 相关团队表达我们的观点,即解决这一问题最合理的方法是禁止注册曾被使用过的 S3 存储桶名称。如果 AWS 采纳这一建议,在 S3 存储桶的上下文中,被遗弃基础设施所引发的漏洞将彻底被消除。
当然,AWS 可能会考虑可用性权衡、账户间 S3 存储桶的转移能力等问题。但我们不禁要问,这些需求是否比我们研究所揭示的安全风险更重要?
AWS 对被遗弃 S3 存储桶风险的回应
AWS 迅速对研究人员发现的 S3 存储桶进行了“封锁”,因此报告中提出的攻击情景无法对这些具体存储桶生效,但更广泛的问题仍然存在。
AWS 发言人表示,这篇博客中描述的问题出现在客户删除了 S3 存储桶,而第三方应用仍然引用这些存储桶的情况下。
研究人员在未事先通知 AWS 的情况下进行研究,后来向 AWS 提供了受影响的存储桶名称。为了保护我们的客户,我们已阻止这些特定存储桶被重新创建。
AWS 还在声明中提到,他们已向客户提供最佳云存储桶实践指南,并建议使用唯一标识符创建存储桶名称,以防止意外重复使用。此外,公司还提供了确保应用程序仅引用客户自有存储桶的配置指南。
AWS 表示,2020 年,我们推出了存储桶所有权条件功能,并鼓励客户使用该机制,专门用于防止存储桶名称的意外重复使用。
AWS 还呼吁研究人员在涉及其服务的研究之前,与 AWS 安全团队进行沟通。
