Palo Alto Networks:雲端配置錯誤和挖礦劫持仍然困擾企業
在Unit 42 2020年下半年雲端威脅報告中,研究人員進行紅隊演練 (Red Team Exercises),發現只要利用IAM的配置錯誤,即可獲取客戶整個Amazon Web Services (AWS) 雲端的管理員存取權限,在現實中可能造成數百萬美元損失的數據外洩事件。
未經授權之外部存取
在紅隊演練中,研究人員成功利用配置錯誤的IAM角色信任政策「假設角色 (AssumeRole)」,獲得敏感資料的臨時存取權限。過於寬鬆的IAM角色信任政策是導致允許未經身份驗證存取的根本原因。配置錯誤的政策允許不在帳戶中的任何AWS用戶也可擔任該角色並獲得存取權。這可能令機構遭遇任何類型的攻擊,包括阻斷服務攻擊 (DoS) 和勒索軟件,甚至進階持續威脅 (APT)。
橫向移動和特權提升
在同一紅隊演練中,Unit 42研究人員成功利用與流程日誌管理相關的配置錯誤IAM(Identity and Access Management)角色,透過非管理員存取橫向移動。然後劫持管理員帳戶,成功由受限的開發人員帳戶提升其權限,得以持久操控。透過利用與流程日誌相關且過於寬鬆的IAM角色,Unit 42研究人員獲得整個雲端的管理存取權限,不受限制地操作雲端資源。攻擊者可使用此技倆竊取敏感數據、消除基礎架構或使用勒索軟件封鎖操作。
雲端身份存保安陋習
Unit 42研究人員發現,75% 的日本和亞太區機構使用Google Cloud運行具有管理員權限的工作負載。然而,最佳實踐是使用最低權限原則運行工作負載,把用戶的權限限制所需設定到最低值。如果攻擊者能夠利用管理員權限損害工作負載,他們就能獲得提升到相同級別的存取,使用雲端資源進行攻擊 (如挖礦劫持),危害機構的利益。
眾多機構遭遇挖礦劫持
挖礦劫持將影響全球至少23% 使用雲端基礎架構的機構,雲端環境正成為專注於惡意挖礦操作的網絡犯罪集團的目標,而惡意挖礦仍然是針對雲端基礎架構中最備受關注的攻擊之一。
透過保護雲端基礎架構免受錯誤配置的IAM角色和政策利用,機構可以改善和加強雲端基礎架構的防禦。Unit 42雲端威脅報告提出方法協助機構以三種不同的方向保持雲端安全:
- 針對IAM角色和政策可能導致的雲端特有嚴重安全事故,提供相關的最新攻擊趨勢。
- 加強DevOps和安全團隊,助他們對威脅佔得先機以保護雲端環境。
- 灌輸正確心態,強調只有機構採取有效的步驟強化IAM角色及政策,雲端才會安全。