安全動態(tài)

云蹲守:攻擊者如何使用已刪除的云資產(chǎn)來進(jìn)行攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2023-12-22    瀏覽次數(shù):
 
簡單地刪除云資產(chǎn),而不確保你的公司刪除了可能指向它們的所有記錄,無論是在你的域的DNS區(qū)域中還是在你的代碼庫中,都可能會為攻擊者打開嚴(yán)重的安全漏洞進(jìn)行攻擊。

我們正處于云計算時代,虛擬服務(wù)器和存儲空間等資源通常根據(jù)需要通過部署腳本以編程方式進(jìn)行配置。盡管剝離這類資產(chǎn)幾乎是一個立竿見影的過程,但在不再需要它們時將其移除并不是那么簡單。簡單地刪除云資產(chǎn),而不確保你的公司刪除了可能指向它們的所有記錄,無論是在你的域的DNS區(qū)域中還是在你的代碼庫中,都可能會為攻擊者打開嚴(yán)重的安全漏洞進(jìn)行攻擊。

想象一下這樣的場景:你想要為你的客戶運行一個特殊的節(jié)日活動,并且你決定為它創(chuàng)建一個微型站點來托管所有的促銷材料、注冊表單等。你的開發(fā)人員開始工作,他們設(shè)計網(wǎng)站,他們在AWS或任何云計算服務(wù)上配置一個新的虛擬服務(wù)器來托管它,以及一個存儲桶來存儲網(wǎng)站的數(shù)據(jù)。

云服務(wù)提供商將從其可重復(fù)使用的IP地址池中為你的EC2實例分配一個可公開訪問的IP地址,并將在其域-Bucket-name下為你的存儲桶分配一個主機名——s3.Region-code.amazonaws.com——這樣你就可以通過API訪問它。

用戶需要訪問你的站點和搜索引擎,而機器人需要對其進(jìn)行索引,因此下一步是在你的主域名上為其創(chuàng)建一個子域,并將其指向IP地址,以便可以從你的子域訪問Web服務(wù)器,然后,為S3存儲桶創(chuàng)建一個子域,并創(chuàng)建一條DNS CNAME記錄,將其指向存儲桶的AWS主機名。假設(shè)你還有一個移動應(yīng)用程序?qū)?shù)據(jù)發(fā)送到該競選網(wǎng)站,因此主機名也會成為該應(yīng)用程序的代碼。由于統(tǒng)計數(shù)據(jù)跟蹤或數(shù)據(jù)庫備份等原因,你還有其他內(nèi)部應(yīng)用程序和工具需要與網(wǎng)站集成。

你現(xiàn)在創(chuàng)建的是位于不同位置的大量記錄,這些記錄實質(zhì)上是臨時的云資源。如果你曾經(jīng)刪除這些云資產(chǎn),因為它們已經(jīng)達(dá)到了它們的目的,但你沒有同時刪除你的開發(fā)人員和基礎(chǔ)設(shè)施工程師為它們創(chuàng)建的記錄,那么你就產(chǎn)生了很大的風(fēng)險。

攻擊者可以使用你的子域進(jìn)行釣魚網(wǎng)站、惡意軟件傳播

攻擊者可以從亞馬遜獲得相同的IP地址,因為它現(xiàn)在是免費的,并且他們有你的子域指向它,因此他們可以創(chuàng)建釣魚站點或惡意軟件服務(wù)站點。他們可以使用相同的名稱注冊S3存儲桶,因為他們在你的應(yīng)用程序代碼中發(fā)現(xiàn)了一個引用,現(xiàn)在你的應(yīng)用程序正在向他們擁有的存儲桶發(fā)送敏感數(shù)據(jù)。

這是TikTok安全工程師Abdullah Al-Sultani最近在布加勒斯特DefCamp安全會議上介紹的場景。他將這次襲擊稱為“云遵守”。它不僅僅是DNS記錄,因為一旦賬戶關(guān)閉,進(jìn)行資源和名稱重新分配的云服務(wù)的類型和數(shù)量非常廣泛。公司越大,這個影子云記錄問題就越大。

大型企業(yè)更難識別云風(fēng)險

在TikTok通過其漏洞賞金計劃收到報告后,al-Sultani遇到了云蹲守的情況,報告涉及記者接管TikTok子域名。他的團隊很快意識到,試圖找到所有過時的記錄將是一項嚴(yán)肅的任務(wù),因為TikTok的母公司字節(jié)跳動在世界上許多國家擁有超過10萬名員工以及開發(fā)和基礎(chǔ)設(shè)施團隊,它還在不同地區(qū)為其不同的應(yīng)用程序提供了數(shù)千個域名。

為了解決這個問題,TikTok安全團隊構(gòu)建了一個內(nèi)部工具,該工具遍歷該公司的所有域名,通過向發(fā)送HTTP或DNS請求來自動測試所有CNAME記錄,識別指向AWS、Azure、Google Cloud和其他第三方服務(wù)提供商等云提供商的IP范圍的所有域和子域,然后檢查這些IP記錄是否仍然有效并分配給TikTok。幸運的是,該公司已經(jīng)在一個內(nèi)部數(shù)據(jù)庫中跟蹤云提供商分配給其資產(chǎn)的IP地址,但許多公司可能不會進(jìn)行這種類型的跟蹤。

Sultani并不是第一個強調(diào)蹲守云層的危險的人。去年,賓夕法尼亞州立大學(xué)的一組研究人員通過在亞馬遜的美國東部地區(qū)部署300萬臺EC2服務(wù)器來分析公共云上IP重復(fù)使用的風(fēng)險,這些服務(wù)器獲得了150萬個唯一的IP地址,約占該地區(qū)可用池的56%。在進(jìn)入這些IP地址的流量中,研究人員發(fā)現(xiàn)了金融交易、GPS位置數(shù)據(jù)和個人身份信息。

研究人員在他們的研究論文中表示:“我們確定了四類云服務(wù)、七類第三方服務(wù)和域名系統(tǒng)作為可利用的潛在配置來源。我們發(fā)現(xiàn),可利用的配置很常見,而且在許多情況下極其危險。在七類第三方服務(wù)中,我們確定了跨越數(shù)百臺服務(wù)器(例如數(shù)據(jù)庫、緩存、移動應(yīng)用程序和Web服務(wù))的數(shù)十個可利用的軟件系統(tǒng)。最后,我們確定了覆蓋231個eTLD的5446個可利用域名——其中105個在前10000個域名中,23個在前1000個熱門域名中?!?

繼承自第三方軟件的云計算風(fēng)險

云蹲守問題的風(fēng)險甚至可以從第三方軟件組件繼承。6月,來自Checkmarx的研究人員警告說,攻擊者正在掃描NPM包,以尋找對S3存儲桶的引用。如果他們發(fā)現(xiàn)一個不再存在的存儲桶,他們會注冊它。在許多情況下,這些包的開發(fā)人員選擇使用S3存儲桶來存儲在包安裝期間下載和執(zhí)行的預(yù)編譯二進(jìn)制文件。因此,如果攻擊者重新注冊被放棄的存儲桶,他們可以在信任受影響的NPM包的用戶的系統(tǒng)上執(zhí)行遠(yuǎn)程代碼執(zhí)行,因為他們可以托管自己的惡意二進(jìn)制文件。

在一個類似的例子中,今年早些時候,Aqua Security的研究人員表明,攻擊者可以重新注冊已被刪除或重命名的GitHub存儲庫。如果應(yīng)用程序或文檔仍然指向它們,則可以使用它們來提供惡意軟件,研究人員將這種攻擊稱為RepoJack。

降低云蹲守風(fēng)險

攻擊面非常大,但公司需要從某個地方開始,越快越好。IP重用和DNS方案似乎是最普遍的,可以通過以下幾種方式緩解:使用云提供商保留的IP地址,這意味著在公司顯式釋放它們之前,它們不會被釋放回共享池,通過將它們自己的IP地址傳輸?shù)皆疲?dāng)用戶不需要直接訪問這些服務(wù)器時,通過在服務(wù)之間使用私有(內(nèi)部)IP地址,或者通過使用由云提供商提供的IPv6地址,因為它們的數(shù)量太大,不太可能永遠(yuǎn)被重復(fù)使用。

公司還應(yīng)該執(zhí)行一項策略,防止在應(yīng)用程序中對IP地址進(jìn)行硬編碼,而應(yīng)該對其所有服務(wù)使用DNS名稱。他們應(yīng)該定期維護這些記錄并刪除陳舊的記錄,但讓所有東西都可以通過DNS尋址提供了一個中央管理位置,而不是追查硬編碼的IP地址。


 
 

上一篇:工信部組織開展網(wǎng)絡(luò)安全保險服務(wù)試點工作

下一篇:2023年12月22日聚銘安全速遞