近日Capital One遭攻击,引发大家对AWS中服务器端请求伪造(SSRF)漏洞的担忧,有些安全专业人士称,该漏洞可能是导致此次攻击的主要因素。
上周一,Capital One披露一次大规模的数据泄露事件,其中攻击者获得超过1亿名申请Capital One信用卡的客户和个人的数据。嫌疑黑客Paige Thompson上周被美国联邦调查局逮捕,并被指控计算机欺诈和滥用罪。
根据针对Thompson的刑事起诉书,她声称获得了一个名为“******-WAF-Role”帐户的登录凭据(WAF指的是网络应用程序防火墙),然后该账户允许她提取超过700个AWS S3存储桶和文件夹清单,并从中提取数据。该起诉书并没有具体说明她如何获得登陆凭证,尽管Capital One和AWS都引用了“防火墙错误配置”作为此次数据泄露事故的原因。
推测:SSRF漏洞被利用
但是,有些专家推测攻击者是利用服务器端请求漏洞来获取登录凭据。
Cloudflare公司安全专家Evan Johnson在他的个人博客上谈到有关Capital One的黑客攻击:“种种迹象都表明攻击者利用了一种被称为服务器端请求伪造(SSRF)的漏洞来执行攻击。”Johnson解释说,SSRF漏洞允许攻击者欺骗目标服务器连接到它原本不打算连接的系统。
Johnson推测攻击者利用SSRF漏洞连接到Capital One EC2实例,然后访问AWS元数据服务,该服务可用于检索临时凭证。Johnson写道,当访问元数据服务后,攻击者就可以“非常容易地”访问AWS中的IAM角色。
他写道:“访问该服务不需要身份验证和授权。通过使用curl,可以很容易地探索元数据服务中可用的静态文件。”
在Johnson发文后,根据一位了解Capital One数据泄露事故调查工作的匿名消息人士称,信息安全记者Brian Krebs报告称,SSRF漏洞被用来访问运行Web应用程序防火墙的服务器。
曾在Capital One工作但希望保持匿名的信息安全专业人士告诉SearchSecurity,Johnson的推断站得住脚。该消息人士称,SSRF漏洞将允许未经授权的一方连接到WAF实例上的元数据服务。该消息人士强调他们不了解Capital One的AWS环境中当前的IAM策略或配置,但表示,一旦建立了对元数据服务的访问权限,攻击者就可以获得WAF角色凭证,以及其他可能的凭据。
CloudZero公司创始人兼首席执行官Erik Peterson也认同Johnson的推论,并表示SSRF早已成为云服务提供商(包括AWS)的已知威胁。Peterson与Veracode公司在2015年RSA会议联合做了一个演示,其中部分描述了如何使用SSRF漏洞获取云环境的元数据(例如API密钥)和登录凭证。
包括Johnson和Peterson在内的几位专家表示,企业可要求使用特殊的HTTP header与AWS元数据服务进行通信,这可缓解部分SSRF威胁(谷歌目前对尝试访问其云元数据的请求需要此类header)。
Peterson说:“你可以对HTTP header做些简单处理以防止此类攻击,但亚马逊没有这样做。在我的演讲之后,我向AWS团队的成员推荐了这种做法,但他们并没有这样做。”
自Peterson 2015年RSAC会议以来,AWS是否试图解决SSRF问题,我们尚不清楚。但至少此次攻击事件表示问题仍然存在。Netflix高级安全软件工程师Michael Wardrop在回应Johnson博客文章的推文(现已删除)中称,Netflix要求AWS效仿GCP [Google Cloud Platform]为元数据服务请求提供特殊header,不幸的是我们没有得到满意的响应。”
当被问及Johnson的博客文章和Wardrop的推文时,一位AWS发言人坚持认为,其云基础设施没有问题。
这位发言人在声明中写道:“有人称Capital One数据泄露事故是由IAM导致,这是不准确的说法。此次入侵是由于Web应用防火墙的错误配置导致,而不是底层的基于云的基础设施造成。”
“客户可以通过额外的安全深度层来更好地保护自己,包括他们如何设置权限、他们为每个经身份验证的角色允许哪些访问权限、他们从我们的平台部署的其他保护措施,以及他们使用和监控哪些入侵检测功能和警报。”
该发言人补充说,AWS为客户提供“比在其他任何地方(包括在他们自己的数据中心内)都更多的安全功能和层,并且,当得到广泛使用、正确配置和监控时,AWS可提供无与伦比的安全性,超过13年的客户安全使用记录也很好地证明这种安全性。”
在AWS向SearchSecurity发送声明后,Wardrop的推文被删除。
解决SSRF威胁
有些安全专业人员不仅支持Johnson关于Capital One 攻击事件的理论,而且还警告说未来的SSRF攻击可能危及企业客户。
托管SD-WAN供应商Masergy公司创新副总裁Ray Watson说:“当我们看到[Capital One]数据泄露事故时,我们首先关注的是,确定是否其他人面临风险。我们发现可能涉及零日攻击,但我们排除了这一点。”
根据与信息安全专家和AWS专家的讨论,Watson表示,SSRF漏洞可很好的解释,Thompson如何通过Capital One的元数据服务访问WAF角色登录凭证。尽管他说这不是零日,但SSRF漏洞是公共云客户需要关注的重要问题。
咨询公司Summit Route的AWS安全专家Scott Piper表示,他“非常同意”Johnson的理论,并表示,AWS早就面临SSRF威胁问题。
Piper说:“这是AWS中已知的漏洞,早在2014年就在信息安全大会上讨论过,并且大家一直在要求AWS改进,并且,对于AWS来说,这应该是很容易修复的问题。”
但Peterson提出了另一种关于HTTP header要求的观点。他表示:“这将是很大的变化,因为所有连接到元数据服务的API(数十个,可能是数百个)都会被破坏。”
Peterson说,解决这个问题的另一种方法是通过IAM。
他表示:“即使攻击者获得WAF登录凭证,如果该登录凭证仅限于非常具体的权限,则也无关紧要。WAF永远不会完美,应用程序安全性业永远不会完美,但如果你遵循最小特权原则,你至少可以减少攻击的影响范围,并限制攻击者可以实现的目标。”
曾在Capital One工作的消息人士表示同意,尽管他们表示导航AWS IAM工具可能具有挑战性。虽然AWS已经能让企业创建极其细粒度的IAM策略和权限,但他们表示,这也使该云提供商的IAM变得“深奥”。
该消息人士称:“当我在Capital One工作时,他们有一整个团队致力于AWS IAM,因为这非常复杂。设置权限也很棘手。你可能急于推出代码,如果你设置的权限太窄,你就会被故障排除请求淹没。所以最终发生的事情是,你设置了更宽的权限和更多的访问权限。”
这位消息人士还表示,Capital One的本土AWS安全工具Cloud Custodian旨在检测过多的权限,例如,WAF角色,但不知道出于何种原因,没有避免这次数据泄露事故。该消息人士称:“Cloud Custodian做了很多事情,比如[AWS]安全组验证和IAM策略验证。但云计算中有太多事情发生,小问题的出现防不胜防,并且,不幸的是,还可能导致这样的数据泄露事故。”去年秋天,Cloud Custodian被开放给开源。
Summit Route的Piper说,虽然它可能无法满足所有客户,但AWS可能会公开回应此事。
他表示:“AWS的理念是,在‘共享’责任模型方面划一条非常严格的界限,我倾向于称之为分离责任模型,因为其实并不涉及共享。访问元数据服务是客户需要保护的问题,所以他们没有任何意义来保护它,因为它可被滥用的唯一方法就是有人利用客户在EC2上安装的东西。至少,这是我对他们的理论的理解。”
其他潜在数据泄露事故
根据被指控攻击者的Slack消息显示,其他组织可能已遭到入侵。这些组织包括Vodafone、美国俄亥俄州交通部、密歇根州立大学和Infoblox。
其中这些组织告诉SearchSecurity,他们正在进行调查,但没有发现任何证据表明他们的网络已被入侵。
然而,前Capital One信息安全工作者表示,这样的证据很难找到,因为从表面上看,这种活动将类似于正常流量。
该消息人士称:“信噪比非常低,这就像在大海中捞针一样。”
Peterson同意并表示,虽然像AWS CloudTrail这样的安全工具会收集大量数据,但要找到可能已经遭受SSRF攻击的位置以及访问了哪个实例和相应的元数据服务,这将是一个挑战。同样困难的是,寻找与特定临时凭证(例如WAF角色)相关的异常活动。
Peterson 称:“所有活动都记录在CloudTrail中,但它非常冗长,很多人并不会关注所有数据,直到发生事故。每个API调用都会被记录下来,但如果我有登录凭据并且正在跳过其他EC2实例,那么这根本不会让人感到惊讶。”
Piper表示,如果在Capital One攻击事故中使用了SSRF漏洞,那对AWS来说并不是好事。
“Capital One拥有最受尊敬的AWS安全团队之一。他们拥有最受欢迎的云安全开源工具,他们的CISO是唯一与AWS的CISO共同站在re:Inforce会议演讲台的非AWS人员。我认为这种情况可能是一个警钟,AWS应该做出一些改进。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
云计算的未来:热门趋势和预测
在过去的几十年里,云计算已经从配置虚拟机的更便宜的替代品演变为更细微和复杂的基础设施。尽管就原始基础设施成本而 […]
-
5个值得考虑的开源云监控工具
如果你的IT团队需要低成本、无锁定的云监控工具,开源可能是不错的选择。 云计算的受欢迎程度持续飙升。然而,由于 […]
-
云退出策略的8个关键步骤
吸引企业迁移到公共云有很多好处,例如降低运营复杂性和降低成本的潜力。但云服务不一定是每个工作负载的最佳场所。有 […]
-
最新VMware产品发布让博通面临挑战
分析师表示,很多企业仍然不确定是否应该继续使用Broadcom的VMware,该供应商最近对其混合云平台做出重 […]