Palo Alto Networks：雲端配置錯誤和挖礦劫持仍然困擾企業

在Unit 42 2020年下半年雲端威脅報告中，研究人員進行紅隊演練 (Red Team Exercises)，發現只要利用IAM的配置錯誤，即可獲取客戶整個Amazon Web Services (AWS) 雲端的管理員存取權限，在現實中可能造成數百萬美元損失的數據外洩事件。

未經授權之外部存取

在紅隊演練中，研究人員成功利用配置錯誤的IAM角色信任政策「假設角色 (AssumeRole)」，獲得敏感資料的臨時存取權限。過於寬鬆的IAM角色信任政策是導致允許未經身份驗證存取的根本原因。配置錯誤的政策允許不在帳戶中的任何AWS用戶也可擔任該角色並獲得存取權。這可能令機構遭遇任何類型的攻擊，包括阻斷服務攻擊 (DoS) 和勒索軟件，甚至進階持續威脅 (APT)。

橫向移動和特權提升

在同一紅隊演練中，Unit 42研究人員成功利用與流程日誌管理相關的配置錯誤IAM（Identity and Access Management）角色，透過非管理員存取橫向移動。然後劫持管理員帳戶，成功由受限的開發人員帳戶提升其權限，得以持久操控。透過利用與流程日誌相關且過於寬鬆的IAM角色，Unit 42研究人員獲得整個雲端的管理存取權限，不受限制地操作雲端資源。攻擊者可使用此技倆竊取敏感數據、消除基礎架構或使用勒索軟件封鎖操作。

雲端身份存保安陋習

Unit 42研究人員發現，75% 的日本和亞太區機構使用Google Cloud運行具有管理員權限的工作負載。然而，最佳實踐是使用最低權限原則運行工作負載，把用戶的權限限制所需設定到最低值。如果攻擊者能夠利用管理員權限損害工作負載，他們就能獲得提升到相同級別的存取，使用雲端資源進行攻擊 (如挖礦劫持)，危害機構的利益。

眾多機構遭遇挖礦劫持

挖礦劫持將影響全球至少23% 使用雲端基礎架構的機構，雲端環境正成為專注於惡意挖礦操作的網絡犯罪集團的目標，而惡意挖礦仍然是針對雲端基礎架構中最備受關注的攻擊之一。

透過保護雲端基礎架構免受錯誤配置的IAM角色和政策利用，機構可以改善和加強雲端基礎架構的防禦。Unit 42雲端威脅報告提出方法協助機構以三種不同的方向保持雲端安全：

• 針對IAM角色和政策可能導致的雲端特有嚴重安全事故，提供相關的最新攻擊趨勢。
• 加強DevOps和安全團隊，助他們對威脅佔得先機以保護雲端環境。
• 灌輸正確心態，強調只有機構採取有效的步驟強化IAM角色及政策，雲端才會安全。