我們正處于云計算時代,虛擬服務(wù)器和存儲空間等資源通常根據(jù)需要通過部署腳本以編程方式進(jìn)行配置���。盡管剝離這類資產(chǎn)幾乎是一個立竿見影的過程����,但在不再需要它們時將其移除并不是那么簡單���。簡單地刪除云資產(chǎn)����,而不確保你的公司刪除了可能指向它們的所有記錄����,無論是在你的域的DNS區(qū)域中還是在你的代碼庫中,都可能會為攻擊者打開嚴(yán)重的安全漏洞進(jìn)行攻擊�����。
想象一下這樣的場景:你想要為你的客戶運(yùn)行一個特殊的節(jié)日活動,并且你決定為它創(chuàng)建一個微型站點(diǎn)來托管所有的促銷材料����、注冊表單等。你的開發(fā)人員開始工作��,他們設(shè)計網(wǎng)站��,他們在AWS或任何云計算服務(wù)上配置一個新的虛擬服務(wù)器來托管它����,以及一個存儲桶來存儲網(wǎng)站的數(shù)據(jù)。
云服務(wù)提供商將從其可重復(fù)使用的IP地址池中為你的EC2實(shí)例分配一個可公開訪問的IP地址�,并將在其域-Bucket-name下為你的存儲桶分配一個主機(jī)名——s3.Region-code.amazonaws.com——這樣你就可以通過API訪問它。
用戶需要訪問你的站點(diǎn)和搜索引擎����,而機(jī)器人需要對其進(jìn)行索引,因此下一步是在你的主域名上為其創(chuàng)建一個子域��,并將其指向IP地址�����,以便可以從你的子域訪問Web服務(wù)器,然后�,為S3存儲桶創(chuàng)建一個子域,并創(chuàng)建一條DNS CNAME記錄�����,將其指向存儲桶的AWS主機(jī)名�����。假設(shè)你還有一個移動應(yīng)用程序?qū)?shù)據(jù)發(fā)送到該競選網(wǎng)站�,因此主機(jī)名也會成為該應(yīng)用程序的代碼��。由于統(tǒng)計數(shù)據(jù)跟蹤或數(shù)據(jù)庫備份等原因�,你還有其他內(nèi)部應(yīng)用程序和工具需要與網(wǎng)站集成。
你現(xiàn)在創(chuàng)建的是位于不同位置的大量記錄��,這些記錄實(shí)質(zhì)上是臨時的云資源���。如果你曾經(jīng)刪除這些云資產(chǎn)��,因?yàn)樗鼈円呀?jīng)達(dá)到了它們的目的�����,但你沒有同時刪除你的開發(fā)人員和基礎(chǔ)設(shè)施工程師為它們創(chuàng)建的記錄�����,那么你就產(chǎn)生了很大的風(fēng)險���。
攻擊者可以使用你的子域進(jìn)行釣魚網(wǎng)站��、惡意軟件傳播
攻擊者可以從亞馬遜獲得相同的IP地址���,因?yàn)樗F(xiàn)在是免費(fèi)的,并且他們有你的子域指向它��,因此他們可以創(chuàng)建釣魚站點(diǎn)或惡意軟件服務(wù)站點(diǎn)��。他們可以使用相同的名稱注冊S3存儲桶���,因?yàn)樗麄冊谀愕膽?yīng)用程序代碼中發(fā)現(xiàn)了一個引用�,現(xiàn)在你的應(yīng)用程序正在向他們擁有的存儲桶發(fā)送敏感數(shù)據(jù)��。
這是TikTok安全工程師Abdullah Al-Sultani最近在布加勒斯特DefCamp安全會議上介紹的場景�。他將這次襲擊稱為“云遵守”。它不僅僅是DNS記錄��,因?yàn)橐坏┵~戶關(guān)閉,進(jìn)行資源和名稱重新分配的云服務(wù)的類型和數(shù)量非常廣泛���。公司越大��,這個影子云記錄問題就越大����。
大型企業(yè)更難識別云風(fēng)險
在TikTok通過其漏洞賞金計劃收到報告后��,al-Sultani遇到了云蹲守的情況����,報告涉及記者接管TikTok子域名��。他的團(tuán)隊(duì)很快意識到�,試圖找到所有過時的記錄將是一項(xiàng)嚴(yán)肅的任務(wù),因?yàn)門ikTok的母公司字節(jié)跳動在世界上許多國家擁有超過10萬名員工以及開發(fā)和基礎(chǔ)設(shè)施團(tuán)隊(duì)�����,它還在不同地區(qū)為其不同的應(yīng)用程序提供了數(shù)千個域名��。
為了解決這個問題��,TikTok安全團(tuán)隊(duì)構(gòu)建了一個內(nèi)部工具,該工具遍歷該公司的所有域名�����,通過向發(fā)送HTTP或DNS請求來自動測試所有CNAME記錄�,識別指向AWS、Azure��、Google Cloud和其他第三方服務(wù)提供商等云提供商的IP范圍的所有域和子域����,然后檢查這些IP記錄是否仍然有效并分配給TikTok。幸運(yùn)的是�,該公司已經(jīng)在一個內(nèi)部數(shù)據(jù)庫中跟蹤云提供商分配給其資產(chǎn)的IP地址,但許多公司可能不會進(jìn)行這種類型的跟蹤�。
Sultani并不是第一個強(qiáng)調(diào)蹲守云層的危險的人。去年��,賓夕法尼亞州立大學(xué)的一組研究人員通過在亞馬遜的美國東部地區(qū)部署300萬臺EC2服務(wù)器來分析公共云上IP重復(fù)使用的風(fēng)險��,這些服務(wù)器獲得了150萬個唯一的IP地址�����,約占該地區(qū)可用池的56%�。在進(jìn)入這些IP地址的流量中����,研究人員發(fā)現(xiàn)了金融交易�����、GPS位置數(shù)據(jù)和個人身份信息���。
研究人員在他們的研究論文中表示:“我們確定了四類云服務(wù)�����、七類第三方服務(wù)和域名系統(tǒng)作為可利用的潛在配置來源�。我們發(fā)現(xiàn)��,可利用的配置很常見�,而且在許多情況下極其危險��。在七類第三方服務(wù)中���,我們確定了跨越數(shù)百臺服務(wù)器(例如數(shù)據(jù)庫�����、緩存���、移動應(yīng)用程序和Web服務(wù))的數(shù)十個可利用的軟件系統(tǒng)��。最后��,我們確定了覆蓋231個eTLD的5446個可利用域名——其中105個在前10000個域名中�����,23個在前1000個熱門域名中��?�!?
繼承自第三方軟件的云計算風(fēng)險
云蹲守問題的風(fēng)險甚至可以從第三方軟件組件繼承����。6月����,來自Checkmarx的研究人員警告說,攻擊者正在掃描NPM包��,以尋找對S3存儲桶的引用。如果他們發(fā)現(xiàn)一個不再存在的存儲桶��,他們會注冊它��。在許多情況下����,這些包的開發(fā)人員選擇使用S3存儲桶來存儲在包安裝期間下載和執(zhí)行的預(yù)編譯二進(jìn)制文件。因此�����,如果攻擊者重新注冊被放棄的存儲桶�,他們可以在信任受影響的NPM包的用戶的系統(tǒng)上執(zhí)行遠(yuǎn)程代碼執(zhí)行,因?yàn)樗麄兛梢酝泄茏约旱膼阂舛M(jìn)制文件���。
在一個類似的例子中����,今年早些時候��,Aqua Security的研究人員表明���,攻擊者可以重新注冊已被刪除或重命名的GitHub存儲庫。如果應(yīng)用程序或文檔仍然指向它們�,則可以使用它們來提供惡意軟件��,研究人員將這種攻擊稱為RepoJack����。
降低云蹲守風(fēng)險
攻擊面非常大���,但公司需要從某個地方開始�����,越快越好��。IP重用和DNS方案似乎是最普遍的���,可以通過以下幾種方式緩解:使用云提供商保留的IP地址,這意味著在公司顯式釋放它們之前�����,它們不會被釋放回共享池���,通過將它們自己的IP地址傳輸?shù)皆?��,?dāng)用戶不需要直接訪問這些服務(wù)器時��,通過在服務(wù)之間使用私有(內(nèi)部)IP地址��,或者通過使用由云提供商提供的IPv6地址����,因?yàn)樗鼈兊臄?shù)量太大�����,不太可能永遠(yuǎn)被重復(fù)使用�����。
公司還應(yīng)該執(zhí)行一項(xiàng)策略�����,防止在應(yīng)用程序中對IP地址進(jìn)行硬編碼��,而應(yīng)該對其所有服務(wù)使用DNS名稱���。他們應(yīng)該定期維護(hù)這些記錄并刪除陳舊的記錄,但讓所有東西都可以通過DNS尋址提供了一個中央管理位置,而不是追查硬編碼的IP地址�����。
