Cloud Security Breaches and Vulnerabilities: 2021 in Review

christophetd
2022年3月14日发布
2021年12月22日首次发布

随着2021年渐行渐远，我们回顾今年公开披露的云数据泄露和漏洞事件。
最后更新：2022年3月14日。

引言

关于实际云安全事件的数据十分稀缺，且往往缺乏攻击者所用战术、技术和程序（TTP）的详细信息。遭受入侵的组织通常不会公开披露具体细节。现有数据存在幸存者偏差；我们只知道被检测到的攻击，而非那些未被发现的高级入侵。

在本文中，我们将分析2021年公开披露的云安全事件和漏洞。我们将重点关注与云提供商使用相关的案例，而不涉及云提供商自身的漏洞。Scott Piper通过其仓库“csp_security_mistakes”在这方面做了大量工作。

我们特别包括以下内容：

受影响公司自身报告的事件，
有充分证据的第三方记录的事件，
公共漏洞赏金计划中披露的漏洞，
恶意软件在云环境中使用的TTP。

不要期待新的、突破性的攻击技术。阅读本文时请自问：我的云安全控制是否覆盖了这些基础？本文强烈聚焦于AWS，因为涉及其他云提供商的事件数据更少。

免责声明：我目前受雇于Datadog，该公司也是一家云安全供应商。本文并非公司或赞助内容。

2021年趋势

静态凭证仍是主要初始访问向量

不出所料，许多攻击始于静态、长期有效的凭证泄露。长期凭证对安全从业者来说是噩梦，因为它们最终会出现在日志文件、监控工具、构建日志、堆栈跟踪等中。假设您的组织有10个静态凭证，每个每天有0.01%的泄露风险，那么在2年内至少有一个泄露的概率为52%！

数据泄露

以下是一些组织因静态、长期凭证而遭受的实际数据泄露案例。

Codecov发布了一个公共Docker镜像，其中一层包含GCP服务账户的静态凭证（来源）。攻击者使用这些凭证替换了托管在Google Cloud Storage中的Codecov安装脚本，代之以窃取环境变量并将其发送到恶意服务器的恶意脚本（来源）。

Codecov攻击者在托管于GCS存储桶的安装脚本中添加了恶意命令。
攻击者入侵了Juspay的一个“未回收访问密钥”，并用其转储了3500万条“掩码卡数据和卡指纹”以及未公开数量的用户个人信息（来源）。
Kaspersky与第三方承包商共享了一个静态AWS SES令牌。攻击者入侵了该令牌，并使用SES发送针对Office365凭证的网络钓鱼邮件。由于邮件是通过真实的Kaspersky电子邮件基础设施发送的，网络钓鱼能够来自合法的、Kaspersky拥有的域（来源）。

使用Kaspersky的AWS SES发送的示例网络钓鱼邮件。
据称，一个被入侵的访问密钥被用于访问Upstox和MobiKwik的私有S3存储桶中的数据（来源，来源），导致350万客户的敏感文档（身份证和其他KYC数据）泄露。我写“据称”是因为存在一些争议；安全研究员Rajshekhar Rajaharia称泄露是由于一个被入侵的访问密钥在两次事件中被使用，而Upstox的CEO称泄露是由于“第三方数据仓库系统”。当然，两者可能都成立。

漏洞

我们还了解到几起 misplaced、易受攻击的静态凭证事件。虽然没有证据确认它们导致了实际数据泄露，但问题相同。

Glassdoor员工在公开可访问的GitHub仓库中泄露了一个AWS IAM用户访问密钥。该访问密钥具有访问“与大数据相关的特定AWS账户”的权限——这并不特别令人放心（HackerOne #801531）。
BeVigil的研究人员发现了40个高度流行的Android应用程序（部分安装量远超100万）打包了静态AWS访问密钥（来源）。任何人都可以通过下载并解压APK访问它们。使用这些密钥，研究人员能够访问S3中的敏感用户数据、源代码、包含数据库凭证的备份等。

打包了AWS凭证的流行Android应用程序。图片来自BeVigil。
配置错误的Apache Airflow实例在无身份验证的情况下暴露在互联网上，泄露了AWS凭证（来源）。

暴露的Apache Airflow实例向未认证的攻击者泄露AWS凭证。图片来自Intezer。
SEGA Europe不安全地存储了多组静态AWS凭证，以及一个MailChimp和Steam API密钥。这些凭证可通过公共S3存储桶访问，并可能允许攻击者入侵受信任的SEGA域（如sega.com）和云基础设施。更具体地说，AWS凭证允许访问数十个S3存储桶、CloudFront分发、EC2实例和SNS主题（来源：https://vpnoverview[.]com/news/sega-europe-security-report/，HN讨论）。

攻击者在入侵公开可访问的静态AWS凭证后可以访问的示例SNS主题。

恶意软件

首个公开报道的恶意软件窃取AWS凭证的事件可追溯到2020年8月，归因于TeamTNT组织。它会将.aws/credentials的内容发送到恶意服务器。截至2021年，我们有证据表明TeamTNT现在也针对静态GCP和Docker凭证（来源）。

最近，我们看到攻击者利用Log4Shell漏洞通过远程代码执行和DNS外泄从环境变量中窃取AWS凭证（来源，来源）。

似乎TeamTNT是唯一公开讨论的积极针对AWS凭证的威胁行为者。截至2021年12月，我不知道任何其他知名行为者。MITRE ATT&CK也没有（见此Google搜索）。很可能会有更多出现，因为AWS凭证在入侵机器后可能成为高价值、低垂的果实。

公共S3存储桶

您知道这会来。我编译了以下2021年公开披露的涉及错误配置S3存储桶的数据泄露的不完整列表。再次强调，它仅包括2021年公开披露的数据泄露。我们可以合理想象还有更多。

公司	描述	泄露数据	受影响数据主体数量
Hobby Lobby	美国工艺品商店	姓名、电子邮件、物理地址、公司应用程序源代码	> 30万
Decathlon Spain	法国体育用品零售商	姓名、电子邮件、电话号码、认证令牌	> 7.8万
86 US cities	使用“PeopleGIS”服务的美国城市	税务报告、护照副本等	未公开
Pixlr	在线照片编辑工具	电子邮件、哈希密码、国家	190万
Acquirely	澳大利亚营销公司	姓名、电子邮件、出生日期、物理地址、电话号码	> 20万
MobiKwik	印度数字支付提供商	KYC数据（包括护照副本）、交易日志、电子邮件地址、电话号码	350万（KYC数据）约1亿（其余）
Senior Advisor	老年护理服务比较器	姓名、电子邮件、电话号码	> 300万
TeamResourcing	招聘公司（前身为“TeamBMS”和“FastTrack Reflex Recruitment”）	简历、护照副本、姓名、电子邮件、物理地址	> 2万
İnova Yönetim	律师事务所	法院案件及相关PII	> 1.5万（1.5万法院案件）
Cosmolog Kozmetik	美容产品公司	姓名、物理地址、购买物品	> 57.6万
Premier Diagnostics	COVID-19检测公司	护照/身份证副本、姓名、出生日期	5.2万
PaleoHacks	原始饮食应用	姓名、电子邮件、哈希密码、出生日期、雇主	7万
Phlebotomy Training Specialists	医疗培训公司	姓名、出生日期、图片、物理地址、身份证、简历、文凭、电话号码	2.7万至5万之间
CallX	电话营销公司	聊天记录、姓名、物理地址、电话号码	1万至10万之间
Prisma Promotora	企业软件提供商	姓名、电子邮件、出生日期、背景调查、物理地址、身份证、借记卡信息	> 1万
Sennheiser	音频硬件制造商	姓名、物理地址、电话号码	> 2.8万
Fleek	已停产的Snapchat替代品	应用用户共享的图片	未公开
Ghana’s National Service Scheme	加纳公共组织	身份证、就业记录	> 10万
BabyChakra	怀孕和育儿平台	儿童图片、医疗测试结果、医疗处方、全名、电话号码、物理地址	> 10万
SEGA Europe	视频游戏和娱乐公司	AWS / MailChimp / Steam API密钥	未公开
D.W. Morgan	运输和物流	全名、电话号码、物理地址、订单详情、发票、货物图片、合同	未公开

我还发现了一个关于GSI Immobilier（法国房地产机构）开放Azure Blob存储桶的参考，泄露了约1000客户的PII。

通过SSRF漏洞窃取实例凭证

四年半前，我写了一篇博客文章“利用SSRF漏洞滥用AWS元数据服务”——甚至在我开始从事安全工作之前。不幸的是，使用SSRF漏洞访问AWS元数据服务仍然存在，主要由于不安全的默认设置和AWS缺乏沟通。为什么在即将到来的2022年，新启动的实例仍然默认使用不安全的实例元数据服务版本？（IMDSv1）

虽然我们在2021年没有利用此技术的安全事件示例，但几个披露的漏洞赏金报告证实这仍然存在：

Evernote中的SSRF允许攻击者窃取临时AWS凭证（HackerOne #1189367），
Logitech拥有的StreamLabs Cloudot中的SSRF，具有类似影响（HackerOne #1108418），
利用Slack中TURN代理的漏洞，具有类似影响（HackerOne #333419，详细说明），
Positive Security的研究人员在Microsoft Teams中发现了一个SSRF，允许他们访问Azure实例元数据服务（他们无法提取有价值的信息，因为Azure需要显式设置请求头）（来源），
2020年底——Google产品本身的SSRF，可用于调用GCP元数据服务器（来源）。

这也是我们首次看到威胁行为者TeamTNT在入侵机器后通过实例元数据服务窃取临时凭证（来源）。这可能表明攻击者的自动化程度提高，因为被盗凭证仅有效几小时。

预防和检测这些常见错误配置

现在，我们知道出了什么问题。让我们看看如何改善，并修复这些泄露和漏洞的根本原因。

摆脱静态、长期有效的凭证

以下建议通常归结为：除非别无选择，否则不要使用IAM用户。

对于人类用户

通过AWS SSO（免费）或账户内的IAM角色联合认证您的人类用户。人类用户没有理由使用IAM用户。IAM用户不仅糟糕因为它们有静态长期凭证，而且因为它们没有链接到集中身份提供商。我建议使用组织范围的Service Control Policy（SCP）阻止创建IAM用户。如果您确实需要IAM用户，请确保只有有限的人员可以创建它们，最好在专用的AWS账户中。根据我的经验，许多不熟悉AWS的人创建IAM用户，错误地认为它们需要在本地开发机器上使用CLI或AWS SDK。

注意，AWS SSO完全支持AWS CLI、AWS SDK和aws-vault。说到这：使用aws-vault，它确保始终加密磁盘上的凭证。

对于应用程序

访问AWS服务的应用程序理想情况下应在AWS中运行。在这种情况下，使用本机AWS构造为它们提供具有适当权限和临时凭证的身份：EC2实例角色、Lambda执行角色、EKS IAM roles for service accounts。

在某些情况下，访问AWS的应用程序不在AWS中运行。在这种情况下，如果您的应用程序有其他方式引导其身份到Vault，像Hashicorp Vault这样的工具很好。例如，Vault可以轻松认证在Kubernetes中运行的应用程序，并动态生成临时AWS凭证。如果您的应用程序在AWS外部运行，并且在无法提供可验证“工作负载身份”的平台上，您将不得不使用静态凭证认证到Vault，这只会转移问题。但至少，它允许您集中所有AWS凭证在Vault中，并确保您的应用程序仅使用临时AWS凭证。

注意，您也可以为人类用户利用Vault。例如，它很好地用于将Okta/AD组映射到AWS角色。

对于SaaS解决方案

许多SaaS解决方案与您的AWS账户集成。这些不应持有静态AWS凭证。相反，您应创建一个专用的IAM角色，它们可以从自己的AWS账户中承担，使用随机生成和保密的ExternalID以避免混淆代理问题。

参见AWS指南和Praetorian的精彩研究。一个很好的例子是Datadog如何与客户的AWS账户集成（免责声明：我当前的雇主）。

扫描不应存在的凭证

有几种解决方案可以扫描源代码中的秘密，本地（例如在预提交钩子中）或在CI/CD中。流行的开源和免费解决方案是detect-secrets、gitleaks和truffleHog（也有商业版）。GitGuardian的ggshield对最多25用户免费。

根据我的经验，静态凭证最终出现在Docker镜像中也容易被忽视。以下是一个Dockerfile示例，乍一看似乎无害（至少对我而言），但在镜像层中泄露访问密钥：

1
2
3
4
5
6
7


FROM amazon/aws-cli:2.4.6

ARG AWS_ACCESS_KEY_ID
ARG AWS_SECRET_ACCESS_KEY

RUN aws s3 cp s3://my-app/artifact.jar /app.jar
CMD ["java", "-jar", "/app.jar"]

在镜像层中泄露AWS凭证的示例Dockerfile。在这种情况下，应使用多阶段构建将应用程序工件复制到第二阶段构建。

有趣的是，唯一支持扫描Docker镜像中秘密的开源容器扫描工具似乎是DeepFence的SecretScanner。许多VCS产品现在附带秘密扫描，包括Gitlab（免费）和GitHub（对公共仓库免费）。GitGuardian也支持扫描Docker镜像中的秘密。它工作得很好，并有大量的VCS和CI/CD集成。另外，它是一家法国公司！🇫🇷🐓

GitGuardian识别Docker镜像层中的AWS凭证。它甚至针对AWS验证凭证，以减少误报。

一劳永逸地避免错误配置的S3存储桶

有许多资源可用于保护S3存储桶。尽管如此，我想编译以下一些操作，您应采取这些操作来保护您的S3存储桶，以及一些更高级的强化提示，如果您在S3中存储特别敏感的数据。

先走再跑

让我们从基础开始。

您无法防御看不到的东西。首先清点您的AWS账户，包括工程师用个人信用卡注册的账户（您的账户经理可以帮助进行基于域的AWS账户发现）。
如果您使用基础设施即代码，使用工具在进入生产前扫描您的基础设施代码中的错误配置。参见我之前的博客文章比较各种工具，如tfsec、checkov和regula：扫描基础设施即代码的安全问题。
启用账户范围的S3 Public Access Block。这将确保您不会错误地使S3存储桶公开。同时：将其作为AWS账户配置过程的一部分，并使用SCP保护s3:PutAccountPublicAccessBlock，以确保无人可以更改它（是的，它也覆盖删除，但有一个单独的AWS权限）。您仍然可以通过CloudFront分发使S3存储桶公开。但“通过显式创建新的CloudFront分发错误地使S3存储桶公开”似乎具有挑战性。
在运行时扫描您的AWS环境以识别错误配置的S3存储桶。您可以使用开源工具如Prowler、ScoutSuite或CloudMapper。市场上还有许多“云安全态势管理”（CSPM）产品，包括Datadog（我当前的雇主）今年早些时候推出的产品。

当值得时进行强化

然后，让我们看看潜在的强化措施。

如果您的S3存储桶仅需要从特定VPC或子网访问，您可以使用存储桶策略的Deny语句中的aws:SourceVpce和aws:SourceVpc条件键确保只能从那里访问（参见：AWS文档）。
使用客户管理的KMS密钥加密您的S3存储桶。当您这样做时，访问存储桶的应用程序和用户需要额外的、显式权限来使用KMS密钥进行加密和解密。换句话说：使用客户管理的KMS密钥加密的公共S3存储桶不是公共的，这是一个有价值的额外安全层。
启用S3数据事件。默认情况下，CloudTrail不记录s3:GetObject、s3:PutObject及类似操作。在敏感的低流量存储桶中，启用这些事件是个好主意。您可以启用读取事件、写入事件或两者。例如，由一组内部EC2实例用于备份的S3存储桶不应生成许多读取请求；然而，记录谁和什么访问了您的备份肯定有价值。
了解谁可以访问您的存储桶。PMapper对此很好；它不仅告诉您谁可以直接访问您的存储桶（例如，通过其存储桶策略），还制作了账户中信任关系的完整图。例如，字面上问PMapper“‘谁可以对my-aws-cloudtrail-logs/*执行s3:GetObject”显示以下主体可以读取存储桶：
- 管理员用户christophe
- EC2实例角色DB_InstanceRole
- …但还有用户dany，他有权限在具有此角色的EC2实例上运行命令

1
2
3
4
5
6
7


user/christophe IS authorized to call action s3:GetObject for resource my-aws-cloudtrail-logs/*

role/DB_InstanceRole IS authorized to call action s3:GetObject for resource my-aws-cloudtrail-logs/*

user/dany CAN call action s3:GetObject for resource my-aws-cloudtrail-logs/* THRU role/DB_InstanceRole
   user/dany can call ssm:SendCommand to access an EC2 instance with access to role/DB_InstanceRole
   role/DB_InstanceRole IS authorized to call action s3:GetObject for resource my-aws-cloudtrail-logs/*

保护实例元数据服务

2019年7月，Capital One遭受了一次众所周知的泄露。攻击者利用了一个SSRF漏洞，并用其窃取了具有特权角色的EC2实例的凭证。几个月后，AWS发布了IMDSv2，一个新版本的实例元数据服务，使其更难被利用。

然而，AWS选择保持不安全的默认设置，因此您必须显式强制执行。最好的方法是使用组织范围的SCP要求使用IMDSv2。在使用自动缩放等功能时

2021年云安全漏洞与数据泄露回顾：AWS凭证、S3配置与元数据服务风险

本文深入分析2021年公开披露的云安全事件，重点探讨静态凭证泄露、S3存储桶错误配置、SSRF漏洞利用等核心风险，并提供AWS环境下的具体防护策略与实践建议。