1、CONTENTS执行摘要101公有云安全发展趋势分析1022023 年重大云安全事件回顾32.1简介42.2微软 AzureActiveDirectory 配置错误导致 Bing 服务受到严重影响42.3全球范围 VMwareESXi 服务器遭至勒索软件攻击42.4DigitalOcean 存储桶被公开访问,印度跨国银行数百万数据遭遇泄露52.5约 3TB 托管至 Azure 上的美国内部军事电子邮件数据遭至泄露52.6阿里云数据库服务被曝严重漏洞“BrokenSesame”52.7勒索软件团伙 CL0P 利用了 MOVEitCloudSQLi 零日漏洞:受害机构数量逼近 900 家,影响人数
2、超 2000 万62.8ToyotaConnected 云配置错误导致大规模数据泄露长达多年62.9丹麦知名云服务被黑,所有数据丢失62.10微软研究团队使用的 AzureBlob 存储桶意外暴露 38TB 隐私数据7CONTENTS2.11英国政府承包商使用的 S3 存储桶泄露大量员工敏感数据 72.12小结703云服务配置错误的安全风险分析83.1容器镜像仓库泄露风险分析93.2源代码仓库泄露风险分析153.3存储桶泄露风险分析193.4小结2504云服务自身的安全风险分析274.1跨租户劫持风险分析284.2权限配置错误风险分析314.3小结3505连接云服务的第三方供应链安全风险分析3
3、75.1DevOps 与云计算385.2DevOps 风险分析385.3小结72CONTENTS06总结与展望7307参考文献761总结与展望执行摘要2023 年,云计算持续迅猛发展,广泛渗透各行业,随着应用程序在混合云和多云环境中的部署增加,面向租户的云上风险也相应提升,如攻击者可利用互联网上泄露的凭证信息访问租户资产,并通过一系列攻击手段对租户资产的安全性构成威胁。再如攻击者可以利用租户的云存储访问错误配置,直接获取云存储桶内的敏感信息,以上风险最终会造成数据泄露事件的发生。其次,公有云服务自身也存在漏洞,若云厂商未及时对漏洞进行修复,攻击者可通过漏洞利用对租户的云服务发起攻击,造成不良后
4、果。最后,开发运营一体化(DevOps)使得用户对应用运营变得更加便捷,但复杂的软件供应链与不必要的服务暴露也带来了极大的安全风险。本篇报告,绿盟科技星云实验室基于云安全研究方面的积累对未来云安全发展趋势进行了简要分析,总结了 2023 年的十大云安全事件,围绕十大事件风险根因,联合创新研究院孵化中心进行了云上风险发现的研究。报告主要内容如下:第一章,我们对未来云安全发展趋势进行了简要分析,我们认为面向租户的云服务配置错误、云服务自身漏洞、连接云服务的第三方供应链安全是未来公有云安全面临的主要风险;第二章,我们简要分析了 2023 年十大典型云安全案例。基于时下热点事件分析网络安全态势,有助于
5、我们“以史为鉴”,预防潜在同类安全事件发生;第三章,我们分析了云服务配置错误可能导致的严重后果。如容器镜像、源代码仓库、云存储桶中可能存储了用户关键服务的密钥信息,也可能存储用户的隐私数据,这给攻击者提供了更多的攻击面,将会导致更多数据泄露事件的发生;第四章,我们对公有云服务自身的安全性进行了分析,如公有云数据库服务自身的安全性较容易被忽略,且数据库中存放用户敏感数据,如账号信息,个人信息等,因此也成为攻击者关注的目标之一;第五章,我们分析了用户在云上部署的开发运营一体化 DevOps 服务的安全性。DevOps流程中,用户使用大量的第三方服务或者依赖库,使用的服务镜像,都有可能存在漏洞,更可
6、能存在敏感数据泄漏的风险。希望通过本报告,各位读者能了解、发现自己云上资产的暴露面和攻击面,以防范潜在的攻击。22023 公有云安全风险分析报告绿盟科技星云实验室观点 1:安全左移过程中,自建仓库的风险应重点关注,研究表明,暴露在互联网上的超过 10%镜像仓库存在镜像泄露风险,约 16%代码仓库存在未授权访问漏洞,且绝大部分自建仓库中泄露的镜像和源代码存在不同程度的敏感数据泄露风险。如被利用,可能会对数据拥有者造成较大的经济和名誉损失。观点 2:绿盟科技统计的 2023 年重大云安全事件中,约四成是因为人为错误配置导致的云存储桶数据泄露,这些事件暴露了用户使用存储桶服务时存在访问控制配置不当和
7、缺乏加密保护等安全问题。观点 3:SaaS 服务作为一种灵活的云服务模型,涵盖各种服务类别,不同的服务面临不同的风险,其中影响较大的风险是租户间的隔离不够彻底,进而危害其他云租户的业务。观点 4:IaaS 服务通常提供大规模的计算存储资源,云租户需要自行搭建服务,其风险主要集中在云租户自身的操作配置可能不合规,或未采用了最佳安全实践。观点 5:近年敏捷开发模式流行,但开发者安全意识缺失,造成大量 DevOps 组件服务暴露在互联网上,不同程度带有 N Day 漏洞。这些漏洞可能来自于组件本身,或来自扩展组件功能的第三方插件,其客观上增加了 DevOps 的攻击面,特别是数据泄露的风险。公有云安
8、全发展趋势分析0122023 公有云安全风险分析报告绿盟科技星云实验室2022 年的网络空间测绘年报 1 中,我们从对象存储服务风险、公有云凭证泄露风险、云原生服务泄露风险、源代码仓库暴露风险四个角度出发,对云上风险进行了梳理分析。2023 年,我们通过对不断曝出的云安全事件的观察,发现这些风险依然存在,并呈现以下趋势:1.云租户的错误导致数据泄漏事件依然不断。随着云上数据泄露事件激增,租户不恰当配置或暴露服务造成连锁安全事件的风险突显,例如 2023 年 5 月,丰田汽车公司外包给 TC公司的部分数据因所属的云存储桶配置错误而遭到大规模数据泄露 2,这表明未来云安全防护的焦点将从工作负载安全
9、转向至面向租户的安全;2.云服务商的错误导致未授权访问和数据泄漏。云服务漏洞导致了一系列未授权访问和数据泄漏事件,例如 2023 年 1月,Azure Active Directory 服务存在认证绕过漏洞导致 Bing 服务的使用受到严重影响 3,同年 4 月,阿里云数据库服务被曝严重漏洞“BrokenSesame”,可导致跨租户劫持风险 4;3.合作伙伴被攻陷的导致供应链安全风险。连接第三方云服务导致的供应链安全风险备受关注。随着敏捷开发趋势越发明显,企业云应用管理越发遵循开发运营一体化的理念。由于 DevOps 流程的各个阶段涉及众多组件,且这些组件被暴露在互联网中,因此攻击者可通过对组
10、件的脆弱性配置或漏洞进行利用,窃取重要数据并植入恶意脚本,引发供应链攻击。典型事件如 2023 年 5 月,勒索软件团伙 CL0P 利用了 MOVEit Cloud SQLi 零日漏洞发起供应链攻击,受害机构数量逼近 900 家,影响人数超 2000 万 5。这成为继 2020 年Solarwinds 事件后又的有一起重大供应链安全事件。随着云服务的广泛应用,云安全面临着日益增大的挑战。人为错误配置是主要的风险来源,无论是云租户还是云服务商都可能犯错。此外,连接第三方云服务引发的供应链攻击也备受关注。我们只有深入了解这些云上风险的根本原因,才能更有效地加强云安全防护,使云计算更好地助力产业升级
11、。022023 年重大云安全事件回顾42023 公有云安全风险分析报告绿盟科技星云实验室2.1 简介2023 年,云安全领域涌现了一系列重大事件,深刻影响着各行业,未来的挑战依然严峻。本章我们总结了 2023 年十大云安全事件并进行简单介绍,后续第三章至第五章我们将围绕这些云安全事件进行深度分析。2.2 微软 Azure Active Directory 配置错误导致 Bing 服务受到严重影响2023 年 1 月,Wiz 发现了 Azure Active Directory(AAD)中的一个新攻击向量,影响Microsoft 的 Bing 服务。该攻击向量基于常见的 AAD 配置错误,使得配
12、置错误的应用程序允许未授权的访问 6。研究人员发现了多个微软应用程序容易受到这种攻击的影响,包含 Mag 新闻、CNS API、Power Automate 博客等应用程序,其中一个是用于驱动 Bing 服务的内容管理系统(CMS)。该漏洞能够导致攻击者接管该 Bing 服务,修改搜索结果,并有可能导致数百万 Bing 用户的Office 365 凭证被窃取。这些凭证进而允许对用户的私人电子邮件和文件进行访问。Wiz 将这次攻击命名为“#BingBang”。该漏洞利用方式十分简单,甚至无需编写任何代码。Wiz已将该问题报送至微软,相关漏洞也已经得到修复。此外,微软对AAD功能进行修改,以减少用
13、户的风险暴露。更详细的分析请参见研究案例 10:微软 Azure Active Directory 由于配置错误导致 Bing服务受到严重影响2.3 全球范围 VMware ESXi 服务器遭至勒索软件攻击2023 年 2 月 3 日左右,法国计算机紧急响应小组(CERT-FR)发出警告,有攻击者正通过利用一个在 2021 年 3 月就发现的 VMware vCenter Server 远程代码执行漏洞(CVE-2021-21974),对全球多地未打补丁的 VMware ESXi 部署新型 ESXiArgs 勒索软件。ESXiArgs 勒索软件会对 ESXi 服务器上的配置文件进行加密,可能导
14、致虚拟机(VM)无法使用。据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击。根据安全大数据公司Censys 检索披露 7,欧洲和北美已经有千台服务器遭到破坏。奥地利计算机安全应急响应小组也发出警告,称“至少有 3762 个系统”受到了影响。意大利电信公司也因为该勒索攻击出现大规模互联网中断。开源勒索软件支付跟踪器 Ransomwhere 跟踪了四笔总价值52023 年重大云安全事件回顾88,000 美元的赎金。2.4 Digital Ocean 存储桶被公开访问,印度跨国银行数百万数据遭遇泄露ICICI银行是一家市值超过760亿美元的印度跨国企业,在印度各地有5000多个分支机构,并在全球
15、至少 15 个国家设有分支机构。印度政府将 ICICI 银行的资产命名为“关键信息基础设施”,对其的任何伤害均会影响国家安全,然而其关键数据安全性却依然得不到保障 8。2023 年 2 月,Cybernews 研究团队发现 ICICI 银行因其系统使用了 Digital Ocean 的云存储服务,但并未正确配置存储桶的访问控制权限,导致银行泄露了 360 万个敏感文件,其中包含银行用户的详细信息、信用卡号、姓名、护照、出生日期、家庭住址、电话号码、电子邮件、银行对账单、现任员工和求职者简历等重要信息,Cybernews 研究团队立即联系了 ICICI 银行和印度计算机应急相应小组(CERT-I
16、N),ICICI 第一时间通过修改访问权限限制了存储桶的访问。更详细的分析请参见研究案例 7:Digital Ocean 存储桶公开可访问,印度跨国银行数百万数据遭遇泄露2.5 约 3TB 托管至 Azure 上的美国内部军事电子邮件数据遭至泄露2023 年 2 月 21 日,美国在线新闻网站 TechCrunch 报道称,美国国防部的一个服务器泄露了约 3TB 美国军方内部电子邮件数据 9。该服务器托管在微软为国防部提供的 Azure政务云上,理论上该政务云与其他网络是物理隔离的,很可能是由于错误配置导致邮件服务暴露在了互联网中并且允许匿名访问。2023 年 2 月 8 日,这个邮件服务器被
17、 Shodan 扫描发现。安全研究员 Anurag Sen 发现服务器泄露了大量敏感信息,并向 TechCrunch 提供了泄露线索。该服务器存储了包括内部军事以及其他安全部门相关的敏感电子邮件数据,其中涉及美国特种作战司令部(USSOCOM)往来邮件、联邦雇员安全许可调查问卷等敏感信息。2.6 阿里云数据库服务被曝严重漏洞“BrokenSesame”2023 年 4 月,Wiz 研究团队在官方博客 43 中披露了一系列被命名为“BrokenSesame”的阿里云数据库服务漏洞。该漏洞会导致未授权访问阿里云租户的 PostgreSQL 数据库,并且可以通过在阿里云的数据库服务上执行供应链攻击,
18、从而完成 RCE10。62023 公有云安全风险分析报告绿盟科技星云实验室研究人员深入研究了阿里云的两个主流云服务:ApsaraDB RDS for PostgreSQL 和AnalyticDB for PostgreSQL,其中,ApsaraDB RDS 是一个托管数据库服务,具备自动监控、备份和灾难恢复功能,AnalyticDB for PostgreSQL 是一个托管数据仓库服务。研究人员发现这两项服务在云隔离方面存在巨大问题。研究人员旨在识别攻击者如何绕过云服务商设置的安全边界,并获取对其他用户数据的访问权限。这是一个影响许多托管服务提供商的重大问题:跨租户劫持。更详细的分析请参见研究
19、案例 9:阿里云数据库服务被曝严重漏洞“BrokenSesame”2.7 勒索软件团伙CL0P利用了MOVEit Cloud SQLi零日漏洞:受害机构数量逼近 900 家,影响人数超 2000 万MOVEit transfer 和 MOVEit Cloud 是 Progress Software 公司生产的托管文件传输产品,可对文件进行加密,采用 FTP 或 SFTP 等文件传输协议来传输数据,提供自动化服务、分析和故障转移功能,在全球医疗保健行业得到大规模应用。2023 年 5 月 27 日,俄罗斯勒索软件组织 CL0P 在阵亡将士纪念日 11 当天通过利用 MOVEit transfer
20、 和 MOVEit Cloud 中的零日漏洞(后被披露为 CVE-2023-34362 漏洞)对全球各大企业发起大规模软件供应链攻击。许多知名企业也受到影响,如壳牌公司、德意志银行、普华永道、索尼、西门子、BBC、英国航空公司、美国能源部和农业部等。这次大规模攻击已危及全球超过 900 家私营和公共部门组织,影响人数超过 2000 万,大约 80%受害者在美国,受影响最大的行业为金融、医疗、教育行业 12。2.8 Toyota Connected 云配置错误导致大规模数据泄露长达多年2023 年 5 月 12 日,Toyota Connected Corporation(以下简称 TC)宣布,
21、丰田汽车公司外包给 TC 公司的部分数据因云环境设置不正确而遭到泄露。此次数据泄露事件影响约215 万订阅丰田服务 T-Connect、G-Link、G-Link Lite 和 G-BOOK 的用户,泄露的信息包含车辆的位置信息、车辆在上述位置的时间以及车载终端 ID 和车辆识别号 VIN,甚至包含 2016年 11 月 14 日至 2023 年 4 月 4 日期间行车记录仪拍到的录像视频 1314。2.9 丹麦知名云服务被黑,所有数据丢失2023 年 8 月 18 日,丹麦的 CloudNordic/AzeroCloud 云服务托管公司遭到勒索软件攻击,黑客关闭了所有系统,包括网站、电子邮件
22、系统、用户系统、用户的网站等等。值得注意的是,72023 年重大云安全事件回顾犯罪者曾将赎金定为 6 个比特币,价值 157,000 美元,但 CloudNordic/AzeroCloud 决定不支付 46。最终这次入侵导致 CloudNordic/AzeroCloud 完全瘫痪,所有用户的数据丢失,包括备份数据也被抹除,影响了数百家丹麦公司。2.10 微软研究团队使用的 Azure Blob 存储桶意外暴露 38TB隐私数据2023 年 9 月,Wiz 安全团队公布一起关于 Microsoft AI 研究团队的数据泄露事件,泄露数据总量达 38TB,泄露数据包括 Microsoft 服务的密
23、码、密钥以及 Microsoft 员工的 30,000多条内部 Microsoft Teams 消息 15。这起数据泄露事件的起因是 Microsoft AI 研究团队在 Github 中开源的一个人工智能模型robust-models-transfer。该模型被存储在 Azure Blob 中,Microsoft AI 研究团队同时公开了一个用于下载数据的Azure账户共享访问签名(SAS)令牌。由于该令牌权限配置错误,导致可以通过该令牌对除模型外的 38TB 敏感数据进行读、写操作。据悉,该 Azure 账户 SAS 令牌于 2020 年 7 月已被公开至 Github 中,并在 2021
24、 年 10月将该令牌的有效期延长至 2051 年 10 月。当前,Microsoft AI 团队已在 2023 年 8 月替换了存在错误配置 SAS 令牌,并完成了该事件潜在影响的调查。更详细的分析请参见研究案例 8:微软研究团队使用的 Azure Blob 存储桶意外暴露 38TB隐私数据2.11 英国政府承包商使用的 S3 存储桶泄露大量员工敏感数据2023 年 11 月 15 日,Cybernews 披露英国 MPD FM(之前称为 Manpower Direct)使用的亚马逊S3(Simple Storage Service)存储桶由于错误配置泄露了16,000多份包含员工护照、签证、
25、身份证、驾驶执照等敏感数据文件 16。2.12 小结从上述事件不难看出,云服务配置错误、云服务自身漏洞、不安全的供应链是导致这些事件的主要原因。其中,由于存储桶配置错误导致的数据泄露事件高达四起,云服务自身漏洞有两起,供应链安全一起,其余则涉及勒索软件攻击。本报告的后续章节将围绕这十大典型云安全事件的风险根因展开,通过案例分析和实际数据为读者提供一些参考和启示。03云服务配置错误的安全风险分析9云服务配置错误的安全风险分析 观点 1:安全左移过程中,自建仓库的风险应重点关注,研究表明,暴露在互联网上的超过 10%镜像仓库存在镜像泄露风险,约 16%代码仓库存在未授权访问漏洞,且绝大部分自建仓库
26、中泄露的镜像和源代码存在不同程度的敏感数据泄露风险。如被利用,可能会对数据拥有者造成较大的经济和名誉损失。观点 2:绿盟科技统计的 2023 年重大云安全事件中,约四成是因为人为错误配置导致的云存储桶数据泄露,这些事件暴露了用户使用存储桶服务时存在访问控制配置不当和缺乏加密保护等安全问题。3.1 容器镜像仓库泄露风险分析截止 2023 年 11 月,我们对全球暴露的 16661 个主流自建镜像仓库进行了研究分析(Harbor 数据占 9042 条,Docker Registry 数据占 7619 条),超过 10%的镜像仓库由于错误配置(Docker Registry 仓库占比约 66%,Ha
27、rbor 仓库占比 34%),其镜像可被直接拉取,由此泄露的镜像高达 31000 个。我们对 31000 个泄露的自建仓库镜像进行了研究分析,97%的镜像存在不同程度的敏感信息泄露。泄露的敏感信息中,68%为业务源代码,这些源码涉及到政府、医疗、教育、金融、通信等各个行业,6%为口令信息,这些口令涉及数据库、管理系统、自建仓库等各种关键应用和服务。自建镜像仓库泄露通常始于仓库服务在互联网上的暴露,如图 3.1 所示,攻击者会发现暴露在互联网中的仓库,并通过漏洞或错误配置进行利用以从仓库中窃取镜像,随后做敏感信息提取,并利用敏感情报再次发起攻击。102023 公有云安全风险分析报告绿盟科技星云实
28、验室1231.仓库扫描2.镜像窃取3.敏感提取4.攻击利用图 3.1 容器自建镜像仓库常见攻击路径我们发现在自建容器镜像仓库中,配置错误是导致容器镜像泄露的主要原因之一,如Harbor 的项目访问权限 17、Docker Registry 的认证机制 18 等,这些配置项若被错误设置为公开访问权限,则会导致大量镜像被未授权访问和拉取。提及 Harbor 仓库时,不得不提 CVE-2022-46463,这个“漏洞”被误认为是未授权访问漏洞,但不久前 Harbor 官方回复这个“漏洞”实际上是一个功能特性,而非真实漏洞。该特性可能会导致设置为“公开”的项目中的镜像被未授权访问和拉取。如图 3.2
29、所示,尽管在 Harbor 项目创建页面有详细的说明,但使用者可能会混淆“公开”的定义,并忽略访问级别相关的文字说明,从而将私有项目的访问级别配置为“公开”。图 3.2 Harbor 公开项目特性设置11云服务配置错误的安全风险分析默认情况下,由于 Docker Registry 的认证机制不会开启,因而攻击者可以直接调用官方提供的 API 接口获取镜像仓库的项目列表和版本信息,进而可获取镜像的详细信息,最终窃取镜像。接下来,我们将分享若干镜像仓库泄露案例,本报告中所有研究工作均在政府主管部门授权指导下进行,相关案例已上报监管部门并已整改。(注:下述研究案例 1-12 包括绿盟科技星云实验室研
30、究的案例以及互联网已公开暴露的案例。)研究案例 1:某软件服务公司 Harbor 镜像仓库泄露 1.46TB 敏感镜像某软件服务公司的 Harbor 镜像仓库暴露在互联网中,并且该镜像仓库由于配置错误,可直接获取镜像列表,这些镜像无需登录便可以直接从互联网上进行拉取。泄露的镜像中包含大量的业务源代码,经敏感识别分析,我们发现其中一个镜像泄露了该仓库的管理员账号和密码。如图 3.3 所示,总共约有 1.46TB 的私有镜像被间接泄露。由于仓库管理员信息的泄露,造成了雪崩效应,导致了更严重的敏感数据泄露事件。图 3.3 某软件服务公司泄露的镜像仓库研究案例 2:某医药 O2O 运营管理公司自建镜像
31、仓库泄露全国多省门店、药品、会员消费等敏感信息某医药 O2O 运营管理公司的自建镜像仓库由于配置错误,导致数百个容器镜像泄露。如122023 公有云安全风险分析报告绿盟科技星云实验室图 3.4 所示,这些泄露的镜像中包含大量业务源码、以及账号密码等敏感信息。图 3.4 某医药 O2O 运营管理公司泄露的口令信息值得关注的是,镜像中的配置文件泄露了该公司运营管理平台的登录口令,由于该运营平台直接暴露在互联网中,因而可被任意进行访问。如 3.5 所示,该账号泄露了全国超过 10个省市入驻药店的运营情况、会员信息、医药消费记录等大量敏感信息。13云服务配置错误的安全风险分析图 3.5 某医药 O2O
32、 运营管理公司运营数据泄露如果不法分子获取了这些敏感信息,他们可以轻松地利用医药消费数据对消费者或药店进行资产画像,从而实施精准攻击,造成巨大的社会影响。研究案例 3:多所高校管理系统包括源码、数据库、视频监控口令等大量敏感信息被泄露某校园安全软件服务公司的自建容器镜像仓库泄露多所高校业务系统的源码,其中多个疑似管理节点的接入账号口令、视频监控系统登录账号密码和疑似校园安全事件管理数据库口令被泄露。如图 3.6 所示,镜像中的配置文件泄露了疑似校园安全事件管理数据库的登录信息,该数据库涉及一些教师的账号信息、班级情况以及安全事件等数据。142023 公有云安全风险分析报告绿盟科技星云实验室图
33、3.6 某镜像泄露的数据库信息通过进一步研究,我们发现该组织在关联镜像中还疑似泄露了如图 3.7 所示的视频监控管理系统账号信息。图 3.7 某高校业务镜像疑似泄露视频监控管理系统账号信息这些泄露信息如果被攻击者所掌握,理论上可以控制管理的视频设备,以及篡改系统数据,这将对学校造成一定的影响。15云服务配置错误的安全风险分析期望通过分享这些案例,能提升读者对镜像泄露的重视,并加强镜像安全管理措施。3.2 源代码仓库泄露风险分析如 Gitblit、Gogs、Gitea、Gitlab 等主流自建代码仓库因为部署便捷、使用方便等优势,在许多环境中得到广泛应用。然而,我们发现许多组织对所采用的代码托管
34、软件的特性了解并不充分。大量的自建代码仓库由于配置错误存在未授权访问的风险,这是攻击者获取自建代码仓库最低成本的途径之一。我们对全球暴露的 80578 个主流自建代码仓库进行了研究分析(Gitblit 数据占 4114 条,Gogs 数据占 13938 条,Gitea 数据占 24318 条,Gitlab 数据占 38208 条),约 16%的代码仓库存在未授权访问风险(Gitblit 数据占 40%,Gogs 数据占 20%,Gitea 数据占 16%,Gitlab 数据占 11%),超过 150000 个源代码可被直接拉取。借助敏感识别技术,我们对这些泄露的源代码项目进行了研究分析,54%
35、的源代码项目存在不同程度的敏感信息泄露。泄露的敏感信息中,91%为业务源代码,这些源码涉及到政府、医疗、教育、金融、通信等各个行业;7%为身份证、银行号、手机号等其他敏感数据;2%为关键口令信息,这些口令涉及数据库、管理系统、自建仓库等各种关键应用和服务。尽管在过去多几年里我们一直致力于向大众提醒“大部分软件的默认配置是不安全的19”、“大部分的应用是缺乏防护的 1”,但每年仍然有相当数量的泄露事件发生。接下来,我们将分享若干代码仓库泄露案例,期望自建代码仓库的安全风险能引起更多关注。研究案例 4:某文旅软件服务商自建代码仓库泄露 26 个产品和用户项目源码等敏感数据 某组织的 Gitea 代
36、码仓库长期暴露在互联网中,并且由于配置错误,无需认证便可以从互联网上获取该仓库的所有项目数据。如图 3.8 所示,我们从其中的一个“公司年会抽奖”项目配置文件中发现了疑似组织名称,结合实体分析技术,我们最终确认该代码仓库为某文旅软件服务商所有。162023 公有云安全风险分析报告绿盟科技星云实验室图 3.8 某文旅软件服务商年会抽奖项目配置该仓库泄露的项目多达 26 个,这些项目几乎涵盖了其官网介绍中的所有合作案例。我们选取了某市的一个文旅项目进行敏感分析,除大量业务代码外,源码中存在大量的关键口令信息,如图 3.9 所示,其中的几块代码段泄露了互联网服务器和互联网数据库的地址和账号口令等关键
37、敏感信息。该仓库中其他项目中还存在大量的类似敏感信息。图 3.9 某文旅项目泄露的关键账号口令信息我们对部分泄露的敏感信息进行了有效性验证,发现其中的一部分互联网资产仍然存活,且没有得到有效的安全防护。17云服务配置错误的安全风险分析研究案例 5:某大数据解决方案服务商自建代码仓库泄露大量业务源码和疑似城市统计数据我们测绘到,某大数据解决方案服务商自建代码仓库暴露在互联网中,如图 3.10 所示,由于配置错误,所有人无需认证便可以直接获取所有项目信息和源代码。值得关注的是,该公司为政府、企业提供人口统计、旅游、交通、公共安全等信息化解决方案。图 3.10 某大数据解决方案服务商自建代码仓库泄露
38、该仓库泄露了前端、后端、APP、数据处理等 9 个项目的源代码,我们选取了部分项目进行源代码敏感分析,几乎每个项目均泄露了不同程度的敏感数据。如图 3.11 所示,我们在配置文件中发现了某业务系统的后台数据库账号口令信息。该信息二次泄露了大量的疑似城市交通信息以及系统账号口令信息。182023 公有云安全风险分析报告绿盟科技星云实验室图 3.11 某大数据解决方案服务商数据库信息泄露研究案例 6:某大数据集团下属科技公司自建代码仓库泄露某省国资委、城投、水务等多个敏感项目数据我们发现某科技公司自建代码仓库暴露在互联网中,该公司属于某省大数据集团下属企业,其业务涉及多市的信息化重点项目。该仓库直
39、接泄露了 11 个项目的源代码,这些项目涉及某省国资委、城投、水务等多个组织。我们对其中的部分项目进行了敏感识别分析,大部分的项目均泄露了不同程度的敏感数据。如图 3.12 所示,项目中的一个配置文件中泄露了其互联网数据库的账号口令信息,该口令泄露了大量疑似国资委的敏感数据。19云服务配置错误的安全风险分析图 3.12 某大数据集团下属科技公司数据库泄露3.3 存储桶泄露风险分析由于人为错误配置,存储桶数据往往可以被公开访问,这意味着只要在浏览器中输入了正确的域名,世界上任何人都可以访问这些数据。这种情况下,存储桶的数据可能会被恶意攻击者轻易发现并利用。公开访问的存储桶数据可能包含各种敏感信息
40、,例如个人身份信息、金融数据、商业机密等。这些数据泄露不仅会损害个人隐私和商业利益,还可能导致法律诉讼和声誉损失。在报告的第二章中,我们统计的 2023 年十大云安全事件中四起事件都是和云存储桶数据泄露直接相关的,这表明云存储桶的安全性在当前云计算环境中仍然面临着严重的风险和挑战。在下文,我们将对这些具有共性的重大安全事件进行详细的研究分析,以深入探讨事件的背景、原因、影响以及可能的应对措施。通过对这些事件的深入分析,我们希望能够从中汲取经验教训,加强对云安全的认识,提高对云存储桶数据泄露等安全威胁的应对能力,以保护用户的隐私和数据安全。研究案例 7:Digital Ocean 存储桶公开可访
41、问,印度跨国银行数百万数据遭遇泄露如前文提到,泄露的敏感文件中包含银行用户的详细信息、信用卡号、姓名、护照、出生日期、家庭住址、电话号码、电子邮件、银行对账单、现任员工和求职者简历等重要信息,202023 公有云安全风险分析报告绿盟科技星云实验室如图 3.13-3.16 所示。图 3.13 云存储中泄露文件总数的屏幕截图图 3.14 护照泄露截图21云服务配置错误的安全风险分析 图 3.15 银行对账单泄露截图222023 公有云安全风险分析报告绿盟科技星云实验室图 3.16 泄露的填写 KYC 表格的屏幕截图 20除此之外,CloudSEK 联合创始人兼首席执行官 Rahul Sasi 还表
42、示 21,泄露的存储桶还包含来自其他几家公司的数据,不仅仅是只有 ICICI 银行的数据。Spaces 是 Digital Ocean 提供的对象存储服务,从其官方 API 文档 22 可以看出,Spaces 对象存储与 Amazon S3 对象存储服务兼容,用户可通过设置 ACL 策略以完成对存储23云服务配置错误的安全风险分析桶的访问控制,以下是一组公有读取存储桶的 ACL 示例:xxxxxxxx http:/ READ xxxx FULL_CONTROL 从上述示例 xml 文件中的 标签值(FULL_CONTROL)可以看出,该策略赋予了存储桶的公开访问权限。ICICI 银行及其用户的
43、敏感数据就是因为类似的这种配置错误而被发现暴露在可公开访问的 Digital Ocean 存储桶中,“公开访问”也就意味着任何人,无论是否拥有 Digital Ocean 账号,只要知道文件的 URL,就可以访问和下载这些文件而无需任何特别的权限和身份认证。Cybernews 的研究人员提到“此类敏感信息可能会损害 ICICI 银行的声誉,并可能泄露银行内部流程的细节,并危及其用户和员工及其数据的安全。”如网络犯罪分子可以使用被盗取的凭据和个人数据在用户不知情的情况下以个人的名义开设账户,进行转账和实施信用卡欺诈,再如网络犯罪分子可在暗网上出售隐私数据,ICICI 银行可能成为数据泄露的受害者
44、。242023 公有云安全风险分析报告绿盟科技星云实验室为防止此类数据泄露,建议企业做到如下几点:1.为创建的云存储桶配置合理的访问权限;2.为用户提供识别和避免电子邮件、网站、电话的欺诈行为的指导,并时刻敦促用户向银行及时报备此类可疑活动;3.若受到隐私泄露情况,应及时更改登录密钥,设置强密码,避免弱密码被暴破的风险研究案例 8:微软研究团队使用的 Azure Blob 存储桶意外暴露 38TB 隐私数据Azure Blob 存储桶是由 Microsoft 提供的云对象存储解决方案,适用于存储大量的非结构化数据,例如文本、图像或二进制数据等。Azure 存储账户包含了所有 Azure 存储数
45、据对象,包括 Blob、文件、队列和表,同时为 Azure 存储数据提供了一个唯一的命名空间 23。共享访问签名(SAS)令牌是一种签名 URL,是一种临时访问凭证,是 Azure 提供的一种对存储账户中资源进行安全委托访问的方式。使用 SAS 可以精细控制用户端访问 Azure 对象存储数据的方式,例如:1.客户端可以访问哪些资源(Blob 容器、表、队列或文件共享);2.SAS 的有效期限。Azure 存储支持三种类型的共享访问签名 SAS:用户委托 SAS、服务 SAS 和账户 SAS。用户可以通过创建账户 SAS 令牌进行 Blob 存储数据共享,并且能够设置该令牌的访问权限和有效时间
46、。在有效时间内,任何人都可以通过账户 SAS 令牌的 URL 按照访问权限访问相关资源。在此次事件中,Microsoft AI 研究团队采用了 Azure Blob 存储和账户 SAS 令牌作为模型共享的方式,并在 GitHub 中公开了数据存储的 SAS 令牌 URL。不幸的是,由于 Microsoft AI研究团队在生成账户 SAS 令牌时设置了不安全的访问权限,即该令牌具有整个存储账户的访问权限,如图 3.17 所示 15,导致用户不仅可以通过该 SAS 令牌访问模型,甚至可以访问存储账户中的额外数据,其中包含了 38TB 的私人文件。除了权限设置过于宽松外,该令牌还被配置为 Blob
47、存储桶的“完全控制”权限,这意味着恶意用户可以修改、删除现有的模型和其他数据,甚至可以进行模型的投毒攻击。25云服务配置错误的安全风险分析图 3.17 SAS 令牌权限配置错误导致此次事件的主要原因是 SAS 令牌权限配置错误,归根到底还是临时凭证的权限安全问题。因此,在使用云厂商的临时凭证时应从以下几个安全方面来考虑:1.应做到对云账户下所有临时凭证的可见与监控,避免“影子”凭证对账户、资源造成严重危害,如临时凭证的使用途径与其具备的权限应严格匹配,应避免对临时凭证进行过度授权。再如临时凭证的过期时间应严格控制,应做到定期更换以避免较长时间的持续授权;2.应避免使用临时凭证作为数据共享的“钥
48、匙”;3.应使用凭证扫描工具检测互联网互联网暴露面(APP、网站和 GitHub 存储库等)中泄露的云凭证;4.应使用诸如云安全态势管理(Cloud Security Posture Management,CSPM)等工具来持续监控、审计云账号下凭证的权限情况3.4 小结本章深入探讨了云服务配置错误导致的安全风险,特别是自建容器镜像仓库、自建代码仓库和存储桶泄露风险。通过具体的研究案例分析,我们发现由于配置错误或对云服务安全262023 公有云安全风险分析报告绿盟科技星云实验室性认识不足等原因,大规模的敏感数据仍然被持续泄露。这些泄露的个人隐私信息、商业机密和关键基础设施等敏感数据很可能对企业
49、声誉以及国家安全造成严重影响。针对这些风险,建议采取以下措施加强云服务的安全性:采取最小化暴露原则,避免不必要的互联网暴露,确保只有授权用户才能访问对应的数据;定期对云服务进行安全审计和配置核查,及时发现并修复潜在的安全漏洞和错误配置;订阅专业的 EASM 服务,监控和保护暴露资产;加强对所选用云应用特性的理解和认识,确保使用云服务的团队了解如何安全配置和管理云资源,提高团队成员对数据保护重要性的认识,并定期进行安全培训;通过采取上述措施,可以有效降低云服务配置错误导致的安全风险,确保敏感数据免受泄露,维护企业和用户的核心利益。04云服务自身的安全风险分析282023 公有云安全风险分析报告绿
50、盟科技星云实验室 观点 3:SaaS 服务作为一种灵活的云服务模型,涵盖各种服务类别,不同的服务面临不同的风险,其中影响较大的风险是租户间的隔离不够彻底,进而危害其他云租户的业务。观点 4:IaaS 服务通常提供大规模的计算存储资源,云租户需要自行搭建服务,其风险主要集中在云租户自身的操作配置可能不合规,或未采用了最佳安全实践。企业可以通过租用公有云资源来存储和处理数据,与私有云相比,公有云的安全问题更加复杂:1.公有云中的数据可能会面临更多的泄露风险。相较于原有的 IT 基础设施,部署在公有云上会扩大攻击面。攻击者可以利用各种方式来获取企业在公有云中存储的敏感数据。例如,企业的存储桶配置不当
浙ICP备2021020529号-1 | 浙B2-20240490 
