近日Capital One遭攻击，引发大家对AWS中服务器端请求伪造（SSRF）漏洞的担忧，有些安全专业人士称，该漏洞可能是导致此次攻击的主要因素。

上周一，Capital One披露一次大规模的数据泄露事件，其中攻击者获得超过1亿名申请Capital One信用卡的客户和个人的数据。嫌疑黑客Paige Thompson上周被美国联邦调查局逮捕，并被指控计算机欺诈和滥用罪。

根据针对Thompson的刑事起诉书，她声称获得了一个名为“******-WAF-Role”帐户的登录凭据（WAF指的是网络应用程序防火墙），然后该账户允许她提取超过700个AWS S3存储桶和文件夹清单，并从中提取数据。该起诉书并没有具体说明她如何获得登陆凭证，尽管Capital One和AWS都引用了“防火墙错误配置”作为此次数据泄露事故的原因。

推测：SSRF漏洞被利用

但是，有些专家推测攻击者是利用服务器端请求漏洞来获取登录凭据。

Cloudflare公司安全专家Evan Johnson在他的个人博客上谈到有关Capital One的黑客攻击：“种种迹象都表明攻击者利用了一种被称为服务器端请求伪造（SSRF）的漏洞来执行攻击。”Johnson解释说，SSRF漏洞允许攻击者欺骗目标服务器连接到它原本不打算连接的系统。

Johnson推测攻击者利用SSRF漏洞连接到Capital One EC2实例，然后访问AWS元数据服务，该服务可用于检索临时凭证。Johnson写道，当访问元数据服务后，攻击者就可以“非常容易地”访问AWS中的IAM角色。

他写道：“访问该服务不需要身份验证和授权。通过使用curl，可以很容易地探索元数据服务中可用的静态文件。”

在Johnson发文后，根据一位了解Capital One数据泄露事故调查工作的匿名消息人士称，信息安全记者Brian Krebs报告称，SSRF漏洞被用来访问运行Web应用程序防火墙的服务器。

曾在Capital One工作但希望保持匿名的信息安全专业人士告诉SearchSecurity，Johnson的推断站得住脚。该消息人士称，SSRF漏洞将允许未经授权的一方连接到WAF实例上的元数据服务。该消息人士强调他们不了解Capital One的AWS环境中当前的IAM策略或配置，但表示，一旦建立了对元数据服务的访问权限，攻击者就可以获得WAF角色凭证，以及其他可能的凭据。

CloudZero公司创始人兼首席执行官Erik Peterson也认同Johnson的推论，并表示SSRF早已成为云服务提供商（包括AWS）的已知威胁。Peterson与Veracode公司在2015年RSA会议联合做了一个演示，其中部分描述了如何使用SSRF漏洞获取云环境的元数据（例如API密钥）和登录凭证。

包括Johnson和Peterson在内的几位专家表示，企业可要求使用特殊的HTTP header与AWS元数据服务进行通信，这可缓解部分SSRF威胁（谷歌目前对尝试访问其云元数据的请求需要此类header）。

Peterson说：“你可以对HTTP header做些简单处理以防止此类攻击，但亚马逊没有这样做。在我的演讲之后，我向AWS团队的成员推荐了这种做法，但他们并没有这样做。”

自Peterson 2015年RSAC会议以来，AWS是否试图解决SSRF问题，我们尚不清楚。但至少此次攻击事件表示问题仍然存在。Netflix高级安全软件工程师Michael Wardrop在回应Johnson博客文章的推文（现已删除）中称，Netflix要求AWS效仿GCP [Google Cloud Platform]为元数据服务请求提供特殊header，不幸的是我们没有得到满意的响应。”

当被问及Johnson的博客文章和Wardrop的推文时，一位AWS发言人坚持认为，其云基础设施没有问题。

这位发言人在声明中写道：“有人称Capital One数据泄露事故是由IAM导致，这是不准确的说法。此次入侵是由于Web应用防火墙的错误配置导致，而不是底层的基于云的基础设施造成。”

“客户可以通过额外的安全深度层来更好地保护自己，包括他们如何设置权限、他们为每个经身份验证的角色允许哪些访问权限、他们从我们的平台部署的其他保护措施，以及他们使用和监控哪些入侵检测功能和警报。”

该发言人补充说，AWS为客户提供“比在其他任何地方（包括在他们自己的数据中心内）都更多的安全功能和层，并且，当得到广泛使用、正确配置和监控时，AWS可提供无与伦比的安全性，超过13年的客户安全使用记录也很好地证明这种安全性。”

在AWS向SearchSecurity发送声明后，Wardrop的推文被删除。

解决SSRF威胁

有些安全专业人员不仅支持Johnson关于Capital One 攻击事件的理论，而且还警告说未来的SSRF攻击可能危及企业客户。

托管SD-WAN供应商Masergy公司创新副总裁Ray Watson说：“当我们看到[Capital One]数据泄露事故时，我们首先关注的是，确定是否其他人面临风险。我们发现可能涉及零日攻击，但我们排除了这一点。”

根据与信息安全专家和AWS专家的讨论，Watson表示，SSRF漏洞可很好的解释，Thompson如何通过Capital One的元数据服务访问WAF角色登录凭证。尽管他说这不是零日，但SSRF漏洞是公共云客户需要关注的重要问题。

咨询公司Summit Route的AWS安全专家Scott Piper表示，他“非常同意”Johnson的理论，并表示，AWS早就面临SSRF威胁问题。

Piper说：“这是AWS中已知的漏洞，早在2014年就在信息安全大会上讨论过，并且大家一直在要求AWS改进，并且，对于AWS来说，这应该是很容易修复的问题。”

但Peterson提出了另一种关于HTTP header要求的观点。他表示：“这将是很大的变化，因为所有连接到元数据服务的API（数十个，可能是数百个）都会被破坏。”

Peterson说，解决这个问题的另一种方法是通过IAM。

他表示：“即使攻击者获得WAF登录凭证，如果该登录凭证仅限于非常具体的权限，则也无关紧要。WAF永远不会完美，应用程序安全性业永远不会完美，但如果你遵循最小特权原则，你至少可以减少攻击的影响范围，并限制攻击者可以实现的目标。”

曾在Capital One工作的消息人士表示同意，尽管他们表示导航AWS IAM工具可能具有挑战性。虽然AWS已经能让企业创建极其细粒度的IAM策略和权限，但他们表示，这也使该云提供商的IAM变得“深奥”。

该消息人士称：“当我在Capital One工作时，他们有一整个团队致力于AWS IAM，因为这非常复杂。设置权限也很棘手。你可能急于推出代码，如果你设置的权限太窄，你就会被故障排除请求淹没。所以最终发生的事情是，你设置了更宽的权限和更多的访问权限。”

这位消息人士还表示，Capital One的本土AWS安全工具Cloud Custodian旨在检测过多的权限，例如，WAF角色，但不知道出于何种原因，没有避免这次数据泄露事故。该消息人士称：“Cloud Custodian做了很多事情，比如[AWS]安全组验证和IAM策略验证。但云计算中有太多事情发生，小问题的出现防不胜防，并且，不幸的是，还可能导致这样的数据泄露事故。”去年秋天，Cloud Custodian被开放给开源。

Summit Route的Piper说，虽然它可能无法满足所有客户，但AWS可能会公开回应此事。

他表示：“AWS的理念是，在‘共享’责任模型方面划一条非常严格的界限，我倾向于称之为分离责任模型，因为其实并不涉及共享。访问元数据服务是客户需要保护的问题，所以他们没有任何意义来保护它，因为它可被滥用的唯一方法就是有人利用客户在EC2上安装的东西。至少，这是我对他们的理论的理解。”

其他潜在数据泄露事故

根据被指控攻击者的Slack消息显示，其他组织可能已遭到入侵。这些组织包括Vodafone、美国俄亥俄州交通部、密歇根州立大学和Infoblox。

其中这些组织告诉SearchSecurity，他们正在进行调查，但没有发现任何证据表明他们的网络已被入侵。

然而，前Capital One信息安全工作者表示，这样的证据很难找到，因为从表面上看，这种活动将类似于正常流量。

该消息人士称：“信噪比非常低，这就像在大海中捞针一样。”

Peterson同意并表示，虽然像AWS CloudTrail这样的安全工具会收集大量数据，但要找到可能已经遭受SSRF攻击的位置以及访问了哪个实例和相应的元数据服务，这将是一个挑战。同样困难的是，寻找与特定临时凭证（例如WAF角色）相关的异常活动。

Peterson 称：“所有活动都记录在CloudTrail中，但它非常冗长，很多人并不会关注所有数据，直到发生事故。每个API调用都会被记录下来，但如果我有登录凭据并且正在跳过其他EC2实例，那么这根本不会让人感到惊讶。”

Piper表示，如果在Capital One攻击事故中使用了SSRF漏洞，那对AWS来说并不是好事。

“Capital One拥有最受尊敬的AWS安全团队之一。他们拥有最受欢迎的云安全开源工具，他们的CISO是唯一与AWS的CISO共同站在re：Inforce会议演讲台的非AWS人员。我认为这种情况可能是一个警钟，AWS应该做出一些改进。”