攻击者|错误配置的IAM角色导致成千上万的云负载受攻击
在2020年春天,Unit 42云威胁情报团队遇到了一位客户,他想让团队测试他们的亚马逊网络服务(AWS)基础设施的防御能力。客户运行了数千个工作负载、数百个Amazon Simple Storage Service (S3)桶,并维护了云本地数据库,该数据库拥有超过500个活跃的开发用户和跨越4个AWS帐户的近1000个角色。在这次渗透测试中,Unit 42的研究人员仅获得有关内部架构的有限信息,并获得了对环境本身的有限访问权限。研究人员使用两种不同的身份和访问管理(IAM)错误配置,获得了访问两个AWS账户的特权。这些错误的配置使得研究人员能够以匿名用户的身份访问云,然后转向托管在云之外的源代码存储库。
首先发现的配置错误利用了风险较高的策略组合,这些组合允许具有IAM角色的用户提升为AdministratorAccess。当成百上千的用户被赋予此角色时,这就为利用这个漏洞获得管理员访问并危及整个云提供了许多潜在的途径。第二个标识的错误配置利用了一个过度允许的IAM信任策略,该策略允许未经身份验证的用户以匿名方式访问内部资源。研究人员成功地在云中横向攻击,并最终获得证书、数据库证书和存储库源代码的私钥。
在分析了过度允许的IAM信任策略的严重性之后,Unit 42的研究人员随后对GitHub进行了调查研究,以查找配置错误的IAM信任策略的AWS账户。研究发现,一家美国制药公司和一家总部设在巴西的金融公司的账户被错误配置。
所有这些错误配置都可能导致重大数据泄漏,从而泄漏有关云工作负载的数千个敏感细节,例如虚拟机(VM)快照、数据库表和S3存储桶。
【 攻击者|错误配置的IAM角色导致成千上万的云负载受攻击】渗透测试和GitHub侦察研究的细节可以在威胁报告中找到Unit 42 Cloud Threat Report, 2H 2020(CTR),本文介绍了用于识别云中的攻击路径的技术和流程,还分析了IAM策略风险组合的根本原因,还包括针对已识别的错误配置的保护和补救策略。IAM是一套全面的建立和维护数字身份,并提供有效地、安全地IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。
身份和访问管理是一套业务处理流程,也是一个用于创建和维护和使用数字身份的支持基础结构。通俗地讲:IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。当你首次创建 AWS 账户时,最初使用的是一个对账户中所有 AWS 服务和资源有完全访问权限的单点登录身份。此身份称为 AWS 账户根用户,可使用你创建账户时所用的电子邮件地址和密码登录来获得此身份。强烈建议你不使用 根用户 执行日常任务,即使是管理任务。请遵守仅将 根用户 用于创建首个 IAM 用户的最佳实践。然后请妥善保存 根用户 凭证,仅用它们执行少数账户和服务管理任务。
Unit 42研究人员指出,在渗透测试中发现的所有错误配置都是客户的错误配置,而不是AWS平台安全的错误配置。当IAM信任策略配置错误时,AWS已经尽力检测并提醒用户。然而,虽然IAM信任策略在默认情况下是安全的,但用户仍然可以覆盖这些策略并引入不安全的配置。AWS还提供了免费的IAM访问分析器,以帮助识别与外部实体共享的资源和数据的意外访问。
AWS IAM
AWS IAM是任何云环境中最复杂的服务之一,它控制每个用户、服务和资源之间的交互。虽然云IAM服务是由云服务提供商(csp)安全设计的,比如AWS,但如果客户配置不当或使用不当,可能会影响多个服务和资源。例如,2019年的Capital One数据泄漏让公司损失了8000万美元,原因是过度宽松的IAM配置允许攻击者绕过AWS Web应用防火墙(WAF)横向移动到Amazon Elastic Compute Cloud (EC2)和S3 存储桶s。
推荐阅读
- iPhone 15配置曝光:全部搭载苹果自研芯片
- 荣耀Magic V参数-荣耀Magic V配置
- 荣耀MagicV性能配置-荣耀MagicV参数评测
- 荣耀手表GS3功能介绍-荣耀手表GS3配置评测
- 印刷|海盗船致歉:部分产品包装出现生产国家 / 地区印刷错误
- 落地页|增长实践中常见错误,你一定中招过
- iqooneo5se值得入手吗-iqooneo5se配置参数怎么样
- iqooneo5se屏幕怎么样-iqooneo5se屏幕配置
- 荣耀x40i参数配置-荣耀x40i手机怎么样值得买吗
- iQOONeo6什么时候上市-iQOONeo6参数配置