本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》的第七篇。
与客户端系统漏洞相比,
云端漏洞无论挖掘还是修复,
都更加秘而不宣。
我们更容易着手研究和公开看到的,
多数都属硬核级别。
本篇可能会给云端研究员带来一些新的提示。
在这个全民上云的时代,不提两句容器化、云原生似乎就已经 out 了。
有报告表示,预计 2023 年政府与企业上云率将会超过 60%,AWS 等云平台越来越像新时代数字世界的水电煤基础设施。
无论云平台提供的是 SaaS、PaaS,还是 IaaS 的形式,最核心的问题之一是如何有效地实施租户与资源的隔离并进行权限确认。
随着云平台业务形态愈发复杂,漏洞也越来越多。
这些漏洞有的来源于云服务业务本身,有些是经典的 Web 漏洞在云时代的指数级放大,有些则是 K8S 和容器机制所新引入的问题。
而当这些漏洞与供应链攻击结合起来时,就会产生无限的想象空间。
AWS 在 2022 年发布了 10 个安全公告,涉及到云服务的有 6 个,其中最严重的就是 AWS ECR (Elastic Container Registry) Public Gallery 的漏洞(AWS-2022-010)。
AWS ECR Public Gallery 是容器镜像的公共存储库,用于共享各公共基础通用系统发行版和应用(例如 Nginx,CloudWatch,Amazon Linux,DataDog代理等)给用户拉取使用,用户也可以在其中上传和发布自己的镜像。
然而,来自于 LightSpin 的研究员在研究过程中发现,在使用 ECR 时,有一些奇怪的 HTTP 请求被浏览器发送到了控制台。这些请求中包含部分带有 Internal 后缀的无法公开查询到的服务名。
这是一个危险的信号,说明 ECR 的一些私有 API 可能被不恰当地暴露了。
后来进一步的研究也佐证了这个猜想。
研究员们分析了控制台的 Javascript 文件,从其中提取出了 12 个带有 Internal 后缀的私有 API 接口,有 7 个接口无法在 ECR 公开的 API 文档中找到对应的信息。
其中更有 4 个 API 的名字看起来就非常危险,有可能可以对镜像进行删除和覆盖:
DeleteImageForConvergentReplicationInternal
DeleteTagForConvergentReplicationInternal
PutImageForConvergentReplicationInternal
PutLayerForConvergentReplicationInternal
他们随后利用 Amazon Cognito GetCredentialsForIdentity 接口获取到临时凭证、使用该凭证获取到访问这些 API 的内部权限,并通过对网页 Javascript 文件中含有的 API 请求结构的逆向分析,最终成功构造出了对应的请求体,使用这些接口获得了对 ECR 任意镜像的读写、删除权限。
ECR 中下载量最高的前六个容器镜像总下载量超过 130 亿次。
约有 26% 的 Kubernets 集群中至少有一个 pod 从 ECR 中提取镜像,可谓是云上非常关键的基础设施。
恶意攻击者可利用该漏洞在基础镜像中投毒植入后门,进行典型的供应链攻击,进而进一步控制所有使用镜像库的下游用户系统,造成的后果只受到攻击者目的和想象力的限制。
这个漏洞虽然本质上是一个典型的 Web 越权和接口对外暴露漏洞,并不太“硬核”。但如果发现者对 AWS 平台认证和业务机制有深刻了解,那么就可能利用该漏洞在云原生时代造成巨大的影响。这揭露了相关供应链的风险,值得我们关注。
云计算兴起的时候,专家就对云安全进行了很多预测和分析。
其中,非常典型的安全隐患是,攻击者在自己租的虚拟机内,通过漏洞打穿虚拟平台,从而获取其他虚拟机的控制权。
现在很多 pwn 比赛的虚拟机项目,也都基于这个场景;在 2022 年的 GeekPwn 比赛上,有选手成功实现虚拟机逃逸,拿到了全场最高分。
但是,随着云生态的不断发展,我们实际看到的云攻击,很少有虚拟机穿越攻击,反而在云的管理接口上,出现了很大的问题。
云逃逸不一定只是硬核的虚拟机漏洞,也可能是 Déjà vu 的剑宗重现;Neo 从 Matrix 中逃脱不一定要再跟机器章鱼大战三百回合,而可以直接搞定 Keymaker。
如果云安全只局限于“剑宗(web 安全)与“气宗(bin 安全)”之争 ,终将陷入被动局面。也许更全面的考量与发展,才是成为“武林高手”的秘诀。
从服务提供商和自建私有云企业的角度,如何更有效地保护云基础设施的安全?
从云上用户角度,如何通过可信供应链等方式,结合 SLSA 框架及时发现和阻断攻击者发起的此类供应链投毒攻击?
这些都值得我们认真思考与探索。
参 考:
[1] https://aws.amazon.com/security/security-bulletins/AWS-2022-010/
[2] https://blog.lightspin.io/aws-ecr-public-vulnerability
[3] https://slsa.dev/
只是一个普普通通的特性,完全符合设计要求和标准规定。
可当这个特性与系统其他部分组合起来成为整体时,却成为了安全问题的导火索。
这种情况发生在非安全公司的产品上,比较常见且可以理解。
但是发生在网络安全公司号称可以保护安全的设备中,却很不应该。
请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第八篇:
扫码进 DarkNavy 官方交流群
你的洞见 群里见