咱们正处于云计算时代,虚构主机和存储空间等资源通常依据须要经过部署脚本以编程模式启动性能。虽然剥离这类资产简直是一个空谷传声的环节,但在不再须要它们时将其移除并不是那么便捷。便捷地删除云资产,而不确保你的公司删除了或许指向它们的一切记载,无论是在你的域的DNS区域中还是在你的代码库中,都或许会为攻打者关上重大的安保破绽启动攻打。
构想一下这样的场景:你想要为你的客户运转一个不凡的节日优惠,并且你选择为它创立一个微型站点来托管一切的促销资料、注册表单等。你的开发人员开局上班,他们设计网站,他们在AWS或任何云计算服务上性能一个新的虚构主机来托管它,以及一个存储桶来存储网站的数据。
云服务提供商将从其可重复经常使用的IP地址池中为你的EC2实例调配一个可地下访问的IP地址,并将在其域-Bucket-name下为你的存储桶调配一个主机名——s3.Region-code.amazonaws.com——这样你就可以经过API访问它。
用户须要访问你的站点和搜查引擎,而机器人须要对其启动索引,因此下一步是在你的主域名上为其创立一个子域,并将其指向IP地址,以便可以从你的子域访问Web主机,而后,为S3存储桶创立一个子域,并创立一条DNSCNAME记载,将其指向存储桶的AWS主机名。假定你还有一个移动运行程序将数据发送到该竞选网站,因此主机名也会成为该运行程序的代码。由于统计数据跟踪或数据库备份等要素,你还有其余外部运行程序和工具须要与网站集成。
你如今创立的是位于不同位置的少量记载,这些记载实质上是暂时的云资源。假设你曾经删除这些云资产,由于它们曾经到达了它们的目的,但你没有同时删除你的开发人员和基础设备工程师为它们创立的记载,那么你就发生了很大的风险。
攻打者可以经常使用你的子域启动钓鱼网站、恶意软件流传
攻打者可以从亚马逊取得相反的IP地址,由于它如今是收费的,并且他们有你的子域指向它,因此他们可以创立钓鱼站点或恶意软件服务站点。他们可以经常使用相反的称号注册S3存储桶,由于他们在你的运行程序代码中发现了一个援用,如今你的运行程序正在向他们领有的存储桶发送敏感数据。
这是TikTok安保工程师AbdullahAl-Sultani最近在布加勒斯特DefCamp安保会议上引见的场景。他将这次袭击称为“云遵守”。它不只仅是DNS记载,由于一旦账户封锁,启动资源和称号从新调配的云服务的类型和数量十分宽泛。公司越大,这个影子云记载疑问就越大。
大型企业更难识别云风险
在TikTok经过其破绽赏金方案收到报告后,al-Sultani遇到了云蹲守的状况,报告触及记者接收TikTok子域名。他的团队很快看法到,试图找到一切过期的记载将是一项轻薄的义务,由于TikTok的母公司字节跳动谢环球上许多国度领有超越10万名员工以及开发和基础设备团队,它还在不同地域为其不同的运行程序提供了数千个域名。
为了处置这个疑问,TikTok安保团队构建了一个外部工具,该工具遍历该公司的一切域名,经过向发送HTTP或DNS恳求来智能测试一切CNAME记载,识别指向AWS、Azure、GoogleCloud和其余第三方服务提供商等云提供商的IP范围的一切域和子域,而后审核这些IP记载能否依然有效并调配给TikTok。幸运的是,该公司曾经在一个外部数据库中跟踪云提供商调配给其资产的IP地址,但许多公司或许不会启动这种类型的跟踪。
Sultani并不是第一个强调蹲守云层的风险的人。去年,宾夕法尼亚州立大学的一组钻研人员经过在亚马逊的美国东部地域部署300万台EC2主机来剖析公共云上IP重复经常使用的风险,这些主机取得了150万个惟一的IP地址,约占该地域可用池的56%。在进入这些IP地址的流量中,钻研人员发现了金融买卖、GPS位置数据和团体身份消息。
钻研人员在他们的钻研论文中示意:“咱们确定了四类云服务、七类第三方服务和域名系统作为可应用的潜在性能起源。咱们发现,可应用的性能很经常出现,而且在许多状况下极端风险。在七类第三方服务中,咱们确定了超越数百台主机(例如数据库、缓存、移动运行程序和Web服务)的数十个可应用的软件系统。最后,咱们确定了笼罩231个eTLD的5446个可应用域名——其中105个在前10000个域名中,23个在前1000个抢手域名中。”
承袭自第三方软件的云计算风险
云蹲守疑问的风险甚至可以从第三方软件组件承袭。6月,来自Checkmarx的钻研人员正告说,攻打者正在扫描NPM包,以寻觅对S3存储桶的援用。假设他们发现一个不再存在的存储桶,他们会注册它。在许多状况下,这些包的开发人员选用经常使用S3存储桶来存储在包装置时期下载和执行的预编译二进制文件。因此,假设攻打者从新注册被丢弃的存储桶,他们可以在信赖受影响的NPM包的用户的系统上执行远程代码执行,由于他们可以托管自己的恶意二进制文件。
在一个相似的例子中,往年早些时刻,AquaSecurity的钻研人员标明,攻打者可以从新注册已被删除或重命名的GitHub存储库。假设运行程序或文档依然指向它们,则可以经常使用它们来提供恶意软件,钻研人员将这种攻打称为RepoJack。
降落云蹲守风险
攻打面十分大,但公司须要从某个中央开局,越快越好。IP重用和DNS方案仿佛是最普遍的,可以经过以下几种模式缓解:经常使用云提供商保管的IP地址,这象征着在公司显式监禁它们之前,它们不会被监禁回共享池,经过将它们自己的IP地址传输到云,当用户不须要间接访问这些主机时,经过在服务之间经常使用私有(外部)IP地址,或许经过经常使用由云提供商提供的IPv6地址,由于它们的数量太大,不太或许永远被重复经常使用。
公司还应该执行一项战略,防止在运行程序中对IP地址启动硬编码,而应该对其一切服务经常使用DNS称号。他们应该活期保养这些记载并删除古老的记载,但让一切物品都可以经过DNS寻址提供了一个中央治理位置,而不是查究硬编码的IP地址。