废弃的云存储桶：一个重要的供应链攻击途径

图片

新研究显示，废弃的云存储桶对网络安全构成了重大威胁，却在很多时候都被忽视。

当攻击者发现这些被忽视的数据存储库可以用原名称重新注册，然后利用它们传播恶意软件，或对仍在请求其中文件的用户实施其他恶意行为时，风险就产生了。

并非理论上的威胁

watchTowr 的研究人员最近发现，这种威胁并非理论假设，实际上这种漏洞极易被利用。这一发现是他们去年对过期和废弃互联网域名相关风险研究的后续成果。

在最新研究中，研究人员首先在互联网上搜索部署代码或软件更新机制中引用的亚马逊 AWS S3 存储桶，接着检查这些机制是否从 S3 存储桶中提取未签名或未经验证的可执行文件或代码。他们发现，约有 150 个 S3 存储桶曾被政府机构、财富 500 强企业、科技公司、网络安全供应商或大型开源项目用于软件部署、更新、配置等，而后被弃用。

为了验证会发生什么，watchTowr 公司花了约 400 美元，用原名称注册了这些未使用的存储桶，并开启日志记录，以查看哪些用户可能会从每个 S3 存储桶请求文件，公司还想知道这些用户会从存储资源中请求什么内容。令他们惊讶的是，在两个月内，这些 S3 存储桶收到了惊人的 800 万个文件请求。研究人员本可以轻易地用恶意软件或其他恶意行为回应其中许多请求。

从废弃 S3 存储桶请求文件的用户中，有美国、英国、澳大利亚等国的政府机构、财富 100 强企业、一家主要支付卡网络公司、一家工业产品公司、全球和地区性银行以及网络安全公司。

watchTowr 的研究人员在报告中表示：“我们并没有在 S3 存储桶被删除时‘抢占’它们，也没有使用任何‘高级’技术来注册这些 S3 存储桶。我们只是把名称输入到输入框中，动动手指点击注册。”

watchTowr 的分析显示，S3 存储桶收到了对各种文件的请求，包括软件更新文件、未签名的 Windows、Linux 和 macOS 二进制文件、虚拟机镜像、JavaScript 文件、SSL VPN 配置文件，以及用于以代码形式定义和配置 AWS 云基础设施服务的 CloudFormation 模板。

如果研究人员想这么做，他们可以轻易地用恶意软件更新、可访问请求组织 AWS 环境的模板，或植入后门的虚拟机，来回应这些请求。

一种 “简单得可怕” 的云网络攻击途径？

watchTowr 首席执行官本杰明・哈里斯（Benjamin Harris）表示：“最关键的是，黑客利用废弃基础设施这个相对鲜为人知的漏洞类别，发起像针对 SolarWinds 公司那样大规模供应链攻击的方式简单得可怕。”

watchTowr 指出，虽然这项研究聚焦于 AWS 存储桶，但任何能被人找到并以原名称重新注册的废弃云存储资源都存在同样风险。

哈里斯继续补充道：“这当然不是 AWS 的问题。然而，至关重要的是，AWS 用户要明白，一旦在代码（例如软件更新过程、部署手册或其他地方）中创建、使用并引用了云资源，这个引用就会永远存在。” 他警告说，正如 watchTowr 的研究所显示的，这种引用的影响会一直存在。

哈里斯称，watchTowr 试图让 AWS 停止允许用以前使用过的名称注册 S3 存储桶。

他说：“我们像坏掉的唱片一样反复向与我们沟通的 AWS 团队表示，应对这一挑战最合理的办法，是阻止使用以前用过的名称注册 S3 存储桶。” 在 AWS S3 存储桶的情况下，这种方法可以从根本上消除废弃基础设施这类漏洞。

他补充道：“可能有人会争论这在可用性上的权衡，比如在账户间转移 S3 存储桶的能力等问题。但我们确实怀疑，这些需求是否比我们研究中展示的影响更重要。”

AWS 回应废弃 S3 存储桶威胁

AWS 迅速将 watchTowr 识别出的 S3 存储桶设为不可达路由，因此这家安全公司在报告中强调的攻击场景，对这些特定资源将不再奏效，不过更广泛的问题依然存在。

AWS 的一位发言人告诉《黑暗阅读》：“博客中描述的问题，发生在客户删除仍被第三方应用程序引用的 S3 存储桶时。watchTowr 在未通知 AWS 的情况下进行研究，之后向 AWS 提供了存储桶名称。为保护我们的客户，我们阻止了这些特定存储桶被重新创建。”

这位发言人提供的一份声明提到，AWS 已为客户提供了关于云存储桶最佳实践的指导，以及在创建存储桶名称时使用唯一标识符以防止意外重复使用的建议。声明还称，该公司也提供了确保应用程序正确配置为仅引用客户自有存储桶的指导：“2020 年，我们推出了‘存储桶所有权条件’功能，并鼓励客户使用这一专门设计用于防止存储桶名称意外重复使用的机制。”