云服务的脏乱后厨:云中间件
近日,研究机构WiZ Research在2022年RSA会议上发表演讲称:几乎所有云服务提供商都在客户不知情的情况下使用存在严重缺陷的云中间件(代理),从而将客户的虚拟机暴露于新的攻击媒介和攻击面中。
Wiz的研究人员此前在微软Azure云的“OMIGOD”开放式管理基础设施(OMI)代理中发现了四个严重漏洞,更糟糕的是:这并非个案,而是遍布整个云计算行业的“灰色地带”,或者说,从未被用户参观过的脏乱后厨。
Wiz的Nir Ohfeld和Shir Tamari表示,云服务代理是连接客户虚拟机和云提供商其他托管服务的中间件。代理是启用高级VM功能(如日志收集、自动更新和配置同步)所必需的程序,但它们也增加了新的潜在攻击面,因为客户不了解它们,也无法防御这些攻击面。
在云中使用虚拟机的客户可以启用比本地环境更高级的功能,例如日志收集、应用自动更新、同步配置等。但是,大多数客户不一定会意识到启用这些功能时,通常也会导致“秘密代理”的静默安装。
云服务提供商通常在客户不知情或未明确同意的情况下在客户的虚拟机上安装专有软件。这种连接客户虚拟机和云提供商托管服务的云中间件软件,由于其隐式安装方式,可能会引入云客户不知道的新潜在攻击面。
此外,当在云中间件软件中发现一个新漏洞,并且不确定谁负责更新它时,客户就会面临严重漏洞和威胁。
微软Azure的脏乱“后厨”
Wiz在2022 RSA大会上的主题演讲基于之前对微软Azure开放管理基础架构(OMI)代理的研究(一组于2021年9月发现并发布的漏洞)。
调查显示,OMI曝出的系列漏洞中包括一个CVSS评分为9.8/10的高危漏洞,攻击者可利用该漏洞提权为root并远程执行代码。微软修补了这些漏洞,但大多数补丁都必须手动修复。这些漏洞影响了无数Azure客户,并且还有证据表明这些漏洞被广泛利用。
Azure在客户不知情或没有明确同意的情况下静默安装OMI。而微软在收到漏洞报告后发布补丁时,居然要求客户负责更新其环境中的所有OMI安装。换而言之,客户需要更新他们不知道微软何时在他们的环境中安装的代理。
云计算全行业的“灰色地带”
使用代理将虚拟机集成到云中并不仅限于Azure,Wiz发现云中间件软件正被各大云提供商使用。
Wiz发布了一个GitHub页面(https://github.com/wiz-sec/cloud-middleware-dataset),其中列出了在Azure、AWS和Google Cloud上秘密安装的12个代理,就像OMI一样,而且它们可能还不是全部。“根据我们的调查,很可能有更多的代理是安全研究人员和云客户不知道的。”Ohfeld和Tamari说。
这种类型的云中间件软件可以使客户暴露于本地特权升级攻击,甚至更糟的情况是,暴露于远程命令执行漏洞。而客户对此完全不知情,相关威胁也被忽视,当云提供商未能(及时)更新此类软件时,客户将面临风险。
Wiz指出,云用户需要警惕安装在其环境中的云服务提供商软件。记录此类软件的安装位置并研究潜在风险非常重要,就像企业在安装第三方软件时通常所做的那样。
在缺乏对云中间件的可见性的情况下,云用户无法评估云代理的风险。因此,客户为自己创建更好、更安全的云计算环境的最佳方式是要求云供应商提高云中间件软件的透明度。
云安全攻击面失控
趋势科技的调查结果表明,大多数企业对其攻击面缺乏了解和信心。
总体而言,在接受调查的6297名IT和业务决策者中,73%的人表示他们担心不断增长的攻击漏洞面,只有51%的人表示他们可以完全定义攻击面。
超过三分之一的受访者表示,他们的安全基础设施混乱且不断发展,而43%的受访者承认他们的攻击面“正在失控”,其中云环境被认为是最不透明的,大多数云计算供应商都安装了秘密中间件。
趋势科技表示,在新冠病毒大流行初期,IT的快速现代化是当前攻击面可见性问题的一个重要原因。IT升级和数字化转型在不知不觉中扩大了数字攻击面,让威胁参与者有更多机会破坏关键资产。
该研究还给出了可见性没有提高的各种原因,例如不透明的供应链、影子IT服务、远程员工以及供应商产品的技术不断变化等。
参考链接:
https://www.wiz.io/blog/the-cloud-gray-zone-secret-agents-installed-by-cloud-service-providers/