在Unit 42 2020年下半年雲端威脅報告中,研究人員進行了紅隊演練 (Red Team Exercises),通過掃描公共雲數據及擷取專有的Palo Alto Networks數據,探討身份和存取管理 (Identity and Access Management,IAM) 的威脅狀況,並辨別機構可以如何改進其IAM配置。在紅隊演練中,Unit 42研究人員發現,只要利用IAM的配置錯誤,即可獲取客戶整個Amazon Web Services (AWS) 雲端的管理員存取權限,在現實中可能造成數百萬美元損失的數據外洩事件。
重要發現
未經授權之外部存取
在紅隊演練中,研究人員成功利用配置錯誤的IAM角色信任政策「假設角色 (AssumeRole)」,獲得敏感資料的臨時存取權限。Unit 42團隊成功使用匿名的AWS帳戶完成此操作。過於寬鬆的IAM角色信任政策是導致允許未經身份驗證存取的根本原因。配置錯誤的政策允許不在帳戶中的任何AWS用戶也可擔任該角色並獲得存取權。這可能令機構遭遇任何類型的攻擊,包括阻斷服務攻擊 (DoS) 和勒索軟件,甚至進階持續威脅 (APT)。
橫向移動和特權提升
在同一紅隊演練中,Unit 42研究人員成功利用與流程日誌管理相關的配置錯誤IAM角色,透過非管理員存取橫向移動。然後他們劫持管理員帳戶,成功由受限的開發人員帳戶提升其權限,得以持久操控。透過利用與流程日誌相關且過於寬鬆的IAM角色,Unit 42研究人員獲得整個雲端的管理存取權限,可以不受限制地操作雲端資源。攻擊者可使用此技倆竊取敏感數據、消除基礎架構或使用勒索軟件封鎖操作。
日本和亞太區機構的雲端身份存保安陋習
Unit 42研究人員發現,75% 的日本和亞太區機構使用Google Cloud運行具有管理員權限的工作負載。然而,最佳實踐是使用最低權限原則運行工作負載,把用戶的權限限制所需設定到最低值。如果攻擊者能夠利用管理員權限損害工作負載,他們就能獲得提升到相同級別的存取。這為攻擊者提供了簡單的途徑,使用雲端資源進行攻擊 (如挖礦劫持),危害機構的利益。
眾多機構遭遇挖礦劫持
除了IAM的研究,Unit 42團隊亦提供了世界各地雲端基礎設施的整體安全狀況。Unit 42研究顯示,挖礦劫持將影響全球至少23% 使用雲端基礎架構的機構,雲端環境正成為專注於惡意挖礦操作的網絡犯罪集團的目標,而惡意挖礦仍然是針對雲端基礎架構中最備受關注的攻擊之一。
透過保護雲端基礎架構免受錯誤配置的IAM角色和政策利用,機構可以改善和加強雲端基礎架構的防禦。Unit 42雲端威脅報告中提出的方法可以協助機構以三種不同的方向保持雲端安全:
- 針對IAM角色和政策可能導致的雲端特有嚴重安全事故,提供相關的最新攻擊趨勢。
- 加強DevOps和安全團隊,助他們對威脅佔得先機以保護雲端環境。
- 灌輸正確心態,強調只有機構採取有效的步驟強化IAM角色及政策,雲端才會安全。
有關研究及最佳實踐的詳細資訊,請下載完整報告。
這篇文章 雲端威脅報告揭示雲端配置錯誤和挖礦劫持繼續困擾企業 最早出現於 TechApple.com。