2023公有云安全风险分析报告

执行摘要 1 01 公有云安全发展趋势分析1 02 2023 年重大云安全事件回顾3 CONTENTS2.1简介42.2微软 AzureActiveDirectory 配置错误导致 Bing 服务受到严重影响42.3全球范围 VMwareESXi 服务器遭至勒索软件攻击42.4DigitalOcean 存储桶被公开访问，印度跨国银行数百万数据遭遇泄露52.5约 3TB 托管至 Azure 上的美国内部军事电子邮件数据遭至泄露52.6阿里云数据库服务被曝严重漏洞“BrokenSesame”52.7勒索软件团伙 CL0P 利用了 MOVEitCloudSQLi 零日漏洞：受害机构数量逼近 900 家，影响人数超 2000 万62.8ToyotaConnected 云配置错误导致大规模数据泄露长达多年62.9丹麦知名云服务被黑，所有数据丢失62.10微软研究团队使用的 AzureBlob 存储桶意外暴露 38TB 隐私数据7 2.11英国政府承包商使用的 S3 存储桶泄露大量员工敏感数据72.12小结7 03 云服务配置错误的安全风险分析83.1容器镜像仓库泄露风险分析93.2源代码仓库泄露风险分析153.3存储桶泄露风险分析193.4小结25 04 云服务自身的安全风险分析274.1跨租户劫持风险分析284.2权限配置错误风险分析314.3小结35 05 连接云服务的第三方供应链安全风险分析375.1DevOps 与云计算385.2DevOps 风险分析385.3小结72 06总结与展望 73 07参考文献 76 执行摘要 2023年，云计算持续迅猛发展，广泛渗透各行业，随着应用程序在混合云和多云环境中的部署增加，面向租户的云上风险也相应提升，如攻击者可利用互联网上泄露的凭证信息访问租户资产，并通过一系列攻击手段对租户资产的安全性构成威胁。再如攻击者可以利用租户的云存储访问错误配置，直接获取云存储桶内的敏感信息，以上风险最终会造成数据泄露事件的发生。其次，公有云服务自身也存在漏洞，若云厂商未及时对漏洞进行修复，攻击者可通过漏洞利用对租户的云服务发起攻击，造成不良后果。最后，开发运营一体化（DevOps）使得用户对应用运营变得更加便捷，但复杂的软件供应链与不必要的服务暴露也带来了极大的安全风险。 本篇报告，绿盟科技星云实验室基于云安全研究方面的积累对未来云安全发展趋势进行了简要分析，总结了2023年的十大云安全事件，围绕十大事件风险根因，联合创新研究院孵化中心进行了云上风险发现的研究。报告主要内容如下： 第一章，我们对未来云安全发展趋势进行了简要分析，我们认为面向租户的云服务配置错误、云服务自身漏洞、连接云服务的第三方供应链安全是未来公有云安全面临的主要风险； 第二章，我们简要分析了2023年十大典型云安全案例。基于时下热点事件分析网络安全态势，有助于我们“以史为鉴”，预防潜在同类安全事件发生； 第三章，我们分析了云服务配置错误可能导致的严重后果。如容器镜像、源代码仓库、云存储桶中可能存储了用户关键服务的密钥信息，也可能存储用户的隐私数据，这给攻击者提供了更多的攻击面，将会导致更多数据泄露事件的发生； 第四章，我们对公有云服务自身的安全性进行了分析，如公有云数据库服务自身的安全性较容易被忽略，且数据库中存放用户敏感数据，如账号信息，个人信息等，因此也成为攻击者关注的目标之一； 第五章，我们分析了用户在云上部署的开发运营一体化DevOps服务的安全性。DevOps流程中，用户使用大量的第三方服务或者依赖库，使用的服务镜像，都有可能存在漏洞，更可能存在敏感数据泄漏的风险。 希望通过本报告，各位读者能了解、发现自己云上资产的暴露面和攻击面，以防范潜在的攻击。 观点1：安全左移过程中，自建仓库的风险应重点关注，研究表明，暴露在互联网上的超过10%镜像仓库存在镜像泄露风险，约16%代码仓库存在未授权访问漏洞，且绝大部分自建仓库中泄露的镜像和源代码存在不同程度的敏感数据泄露风险。如被利用，可能会对数据拥有者造成较大的经济和名誉损失。 观点2：绿盟科技统计的2023年重大云安全事件中，约四成是因为人为错误配置导致的云存储桶数据泄露，这些事件暴露了用户使用存储桶服务时存在访问控制配置不当和缺乏加密保护等安全问题。 观点3：SaaS服务作为一种灵活的云服务模型，涵盖各种服务类别，不同的服务面临不同的风险，其中影响较大的风险是租户间的隔离不够彻底，进而危害其他云租户的业务。 观点4：IaaS服务通常提供大规模的计算存储资源，云租户需要自行搭建服务，其风险主要集中在云租户自身的操作配置可能不合规，或未采用了最佳安全实践。 观点5：近年敏捷开发模式流行，但开发者安全意识缺失，造成大量DevOps组件服务暴露在互联网上，不同程度带有N Day漏洞。这些漏洞可能来自于组件本身，或来自扩展组件功能的第三方插件，其客观上增加了DevOps的攻击面，特别是数据泄露的风险。 公有云安全发展趋势分析 2022年的网络空间测绘年报[1]中，我们从对象存储服务风险、公有云凭证泄露风险、云原生服务泄露风险、源代码仓库暴露风险四个角度出发，对云上风险进行了梳理分析。2023年，我们通过对不断曝出的云安全事件的观察，发现这些风险依然存在，并呈现以下趋势： 1.云租户的错误导致数据泄漏事件依然不断。随着云上数据泄露事件激增，租户不恰当配置或暴露服务造成连锁安全事件的风险突显，例如2023年5月，丰田汽车公司外包给TC公司的部分数据因所属的云存储桶配置错误而遭到大规模数据泄露[2]，这表明未来云安全防护的焦点将从工作负载安全转向至面向租户的安全； 2.云服务商的错误导致未授权访问和数据泄漏。云服务漏洞导致了一系列未授权访问和数据泄漏事件，例如2023年1月，Azure Active Directory服务存在认证绕过漏洞导致Bing服务的使用受到严重影响[3]，同年4月，阿里云数据库服务被曝严重漏洞“BrokenSesame”，可导致跨租户劫持风险[4]； 3.合作伙伴被攻陷的导致供应链安全风险。连接第三方云服务导致的供应链安全风险备受关注。随着敏捷开发趋势越发明显，企业云应用管理越发遵循开发运营一体化的理念。由于DevOps流程的各个阶段涉及众多组件，且这些组件被暴露在互联网中，因此攻击者可通过对组件的脆弱性配置或漏洞进行利用，窃取重要数据并植入恶意脚本，引发供应链攻击。典型事件如2023年5月，勒索软件团伙CL0P利用了MOVEit Cloud SQLi零日漏洞发起供应链攻击，受害机构数量逼近900家，影响人数超2000万[5]。这成为继2020年Solarwinds事件后又的有一起重大供应链安全事件。 随着云服务的广泛应用，云安全面临着日益增大的挑战。人为错误配置是主要的风险来源，无论是云租户还是云服务商都可能犯错。此外，连接第三方云服务引发的供应链攻击也备受关注。我们只有深入了解这些云上风险的根本原因，才能更有效地加强云安全防护，使云计算更好地助力产业升级。 2023 年重大云安全事件回顾 2.1简介 2023年，云安全领域涌现了一系列重大事件，深刻影响着各行业，未来的挑战依然严峻。本章我们总结了2023年十大云安全事件并进行简单介绍，后续第三章至第五章我们将围绕这些云安全事件进行深度分析。 2.2微软Azure Active Directory配置错误导致Bing服务受到严重影响 2023年1月，Wiz发现了Azure Active Directory（AAD）中的一个新攻击向量，影响Microsoft的Bing服务。该攻击向量基于常见的AAD配置错误，使得配置错误的应用程序允许未授权的访问[6]。 研究人员发现了多个微软应用程序容易受到这种攻击的影响，包含Mag新闻、CNS API、Power Automate博客等应用程序，其中一个是用于驱动Bing服务的内容管理系统（CMS）。该漏洞能够导致攻击者接管该Bing服务，修改搜索结果，并有可能导致数百万Bing用户的Office 365凭证被窃取。这些凭证进而允许对用户的私人电子邮件和文件进行访问。 Wiz将这次攻击命名为“#BingBang”。该漏洞利用方式十分简单，甚至无需编写任何代码。Wiz已将该问题报送至微软，相关漏洞也已经得到修复。此外，微软对AAD功能进行修改，以减少用户的风险暴露。 更详细的分析请参见研究案例10:微软Azure Active Directory由于配置错误导致Bing服务受到严重影响 2.3全球范围VMware ESXi服务器遭至勒索软件攻击 2023年2月3日左右，法国计算机紧急响应小组(CERT-FR)发出警告，有攻击者正通过利用一个在2021年3月就发现的VMware vCenter Server远程代码执行漏洞（CVE-2021-21974），对全球多地未打补丁的VMware ESXi部署新型ESXiArgs勒索软件。ESXiArgs勒索软件会对ESXi服务器上的配置文件进行加密，可能导致虚拟机(VM)无法使用。 据悉，意大利、法国、芬兰、美国、加拿大等国均遭到攻击。根据安全大数据公司Censys检索披露[7]，欧洲和北美已经有千台服务器遭到破坏。奥地利计算机安全应急响应小组也发出警告，称“至少有3762个系统”受到了影响。意大利电信公司也因为该勒索攻击出现大规模互联网中断。开源勒索软件支付跟踪器Ransomwhere跟踪了四笔总价值 88,000美元的赎金。 2.4 Digital Ocean存储桶被公开访问，印度跨国银行数百万数据遭遇泄露 ICICI银行是一家市值超过760亿美元的印度跨国企业，在印度各地有5000多个分支机构，并在全球至少15个国家设有分支机构。印度政府将ICICI银行的资产命名为“关键信息基础设施”，对其的任何伤害均会影响国家安全，然而其关键数据安全性却依然得不到保障[8]。2023年2月，Cybernews研究团队发现ICICI银行因其系统使用了Digital Ocean的云存储服务，但并未正确配置存储桶的访问控制权限，导致银行泄露了360万个敏感文件，其中包含银行用户的详细信息、信用卡号、姓名、护照、出生日期、家庭住址、电话号码、电子邮件、银行对账单、现任员工和求职者简历等重要信息，Cybernews研究团队立即联系了ICICI银行和印度计算机应急相应小组（CERT-IN），ICICI第一时间通过修改访问权限限制了存储桶的访问。 更详细的分析请参见研究案例7：Digital Ocean存储桶公开可访问，印度跨国银行数百万数据遭遇泄露 2.5约3TB托管至Azure上的美国内部军事电子邮件数据遭至泄露 2023年2月21日，美国在线新闻网站TechCrunch报道称，美国国防部的一个服务器泄露了约3TB美国军方内部电子邮件数据[9]。该服务器托管在微软为国防部提供的Azure政务云上，理论上该政务云与其他网络是物理隔离的，很可能是由于错误配置导致邮件服务暴露在了互联网中并且允许匿名访问。 2023年2月8日，这个邮件服务器被Shodan扫描发现。安全研究员Anurag Sen发现服务器泄露了大量敏感信息，并向TechCrunch提供了泄露线索。该服务器存储了包括内部军事以及其他安全部门相关的敏感电子邮件数据，其中涉及美国特种作战司令部（USSOCOM）往来邮件、联邦雇员安全许可调查问卷等敏感信息。 2.6阿里云数据库服务被曝严重漏洞“BrokenSesame” 2023年4月，Wiz研究团队在官方博客[43]中披露了一系列被命名为“BrokenSesame”的阿里云数据库服务漏洞。该漏洞会导致未授权访问阿里云租户的PostgreSQL数据库，并且可以通过在阿里云的数据库服务上执行供应链攻击，从而完成RCE[10]。 研 究 人 员 深 入 研 究 了 阿 里 云 的 两 个 主 流 云 服 务：ApsaraDB RDS for