2023公有云安全风险分析报告

关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 关于星云实验室 星云实验室专注于云计算安全相关的前沿领域研究。基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS 执行摘要1 01 公有云安全发展趋势分析1 02 2023年重大云安全事件回顾3 2.1简介4 2.2微软AzureActiveDirectory配置错误导致Bing服务 受到严重影响4 2.3全球范围VMwareESXi服务器遭至勒索软件攻击4 2.4DigitalOcean存储桶被公开访问， 印度跨国银行数百万数据遭遇泄露5 2.5约3TB托管至Azure上的 美国内部军事电子邮件数据遭至泄露5 2.6阿里云数据库服务被曝严重漏洞“BrokenSesame”5 2.7勒索软件团伙CL0P利用了MOVEitCloudSQLi零日漏洞：受害机构数量逼近900家，影响人数超2000万6 2.8ToyotaConnected云配置错误 导致大规模数据泄露长达多年6 2.9丹麦知名云服务被黑，所有数据丢失6 2.10微软研究团队使用的AzureBlob存储桶 意外暴露38TB隐私数据7 2.11英国政府承包商使用的S3存储桶泄露大量员工敏感数据7 2.12小结7 03 云服务配置错误的安全风险分析8 3.1容器镜像仓库泄露风险分析9 3.2源代码仓库泄露风险分析15 3.3存储桶泄露风险分析19 3.4小结25 04 云服务自身的安全风险分析27 4.1跨租户劫持风险分析28 4.2权限配置错误风险分析31 4.3小结35 05 连接云服务的第三方供应链安全风险分析37 5.1DevOps与云计算38 5.2DevOps风险分析38 5.3小结72 06 总结与展望73 07 参考文献76 总结与展望 执行摘要 2023年，云计算持续迅猛发展，广泛渗透各行业，随着应用程序在混合云和多云环境中的部署增加，面向租户的云上风险也相应提升，如攻击者可利用互联网上泄露的凭证信息访问租户资产，并通过一系列攻击手段对租户资产的安全性构成威胁。再如攻击者可以利用租户的云存储访问错误配置，直接获取云存储桶内的敏感信息，以上风险最终会造成数据泄露事件的发生。其次，公有云服务自身也存在漏洞，若云厂商未及时对漏洞进行修复，攻击者可通过漏洞利用对租户的云服务发起攻击，造成不良后果。最后，开发运营一体化（DevOps）使得用户对应用运营变得更加便捷，但复杂的软件供应链与不必要的服务暴露也带来了极大的安全风险。 本篇报告，绿盟科技星云实验室基于云安全研究方面的积累对未来云安全发展趋势进行了简要分析，总结了2023年的十大云安全事件，围绕十大事件风险根因，联合创新研究院孵化中心进行了云上风险发现的研究。报告主要内容如下： 第一章，我们对未来云安全发展趋势进行了简要分析，我们认为面向租户的云服务配置错误、云服务自身漏洞、连接云服务的第三方供应链安全是未来公有云安全面临的主要风险； 第二章，我们简要分析了2023年十大典型云安全案例。基于时下热点事件分析网络安全态势，有助于我们“以史为鉴”，预防潜在同类安全事件发生； 第三章，我们分析了云服务配置错误可能导致的严重后果。如容器镜像、源代码仓库、云存储桶中可能存储了用户关键服务的密钥信息，也可能存储用户的隐私数据，这给攻击者提供了更多的攻击面，将会导致更多数据泄露事件的发生； 第四章，我们对公有云服务自身的安全性进行了分析，如公有云数据库服务自身的安全性较容易被忽略，且数据库中存放用户敏感数据，如账号信息，个人信息等，因此也成为攻击者关注的目标之一； 第五章，我们分析了用户在云上部署的开发运营一体化DevOps服务的安全性。DevOps流程中，用户使用大量的第三方服务或者依赖库，使用的服务镜像，都有可能存在漏洞，更可能存在敏感数据泄漏的风险。 希望通过本报告，各位读者能了解、发现自己云上资产的暴露面和攻击面，以防范潜在的攻击。 1 《2023公有云安全风险分析报告》绿盟科技星云实验室 观点1：安全左移过程中，自建仓库的风险应重点关注，研究表明，暴露在互联网上的超过10%镜像仓库存在镜像泄露风险，约16%代码仓库存在未授权访问漏洞，且绝大部分自建仓库中泄露的镜像和源代码存在不同程度的敏感数据泄露风险。如被利用，可能会对数据拥有者造成较大的经济和名誉损失。 观点2：绿盟科技统计的2023年重大云安全事件中，约四成是因为人为错误配置导致的云存储桶数据泄露，这些事件暴露了用户使用存储桶服务时存在访问控制配置不当和缺乏加密保护等安全问题。 观点3：SaaS服务作为一种灵活的云服务模型，涵盖各种服务类别，不同的服务面临不同的风险，其中影响较大的风险是租户间的隔离不够彻底，进而危害其他云租户的业务。 观点4：IaaS服务通常提供大规模的计算存储资源，云租户需要自行搭建服务，其风险主要集中在云租户自身的操作配置可能不合规，或未采用了最佳安全实践。 观点5：近年敏捷开发模式流行，但开发者安全意识缺失，造成大量DevOps组件服务暴露在互联网上，不同程度带有NDay漏洞。这些漏洞可能来自于组件本身，或来自扩展组件功能的第三方插件，其客观上增加了DevOps的攻击面，特别是数据泄露的风险。 公有云0趋安势全1分发析展 2022年的网络空间测绘年报[1]中，我们从对象存储服务风险、公有云凭证泄露风险、云原生服务泄露风险、源代码仓库暴露风险四个角度出发，对云上风险进行了梳理分析。2023年，我们通过对不断曝出的云安全事件的观察，发现这些风险依然存在，并呈现以下趋势： 1.云租户的错误导致数据泄漏事件依然不断。随着云上数据泄露事件激增，租户不恰当配置或暴露服务造成连锁安全事件的风险突显，例如2023年5月，丰田汽车公司外包给TC公司的部分数据因所属的云存储桶配置错误而遭到大规模数据泄露[2]，这表明未来云安全防护的焦点将从工作负载安全转向至面向租户的安全； 2.云服务商的错误导致未授权访问和数据泄漏。云服务漏洞导致了一系列未授权访问和数据泄漏事件，例如2023年1月，AzureActiveDirectory服务存在认证绕过漏洞导致Bing服务的使用受到严重影响[3]，同年4月，阿里云数据库服务被曝严重漏洞“BrokenSesame”，可导致跨租户劫持风险[4]； 3.合作伙伴被攻陷的导致供应链安全风险。连接第三方云服务导致的供应链安全风险备受关注。随着敏捷开发趋势越发明显，企业云应用管理越发遵循开发运营一体化的理念。由于DevOps流程的各个阶段涉及众多组件，且这些组件被暴露在互联网中，因此攻击者可通过对组件的脆弱性配置或漏洞进行利用，窃取重要数据并植入恶意脚本，引发供应链攻击。典型事件如2023年5月，勒索软件团伙CL0P利用了MOVEitCloudSQLi零日漏洞发起供应链攻击，受害机构数量逼近900家，影响人数超2000万[5]。这成为继2020年Solarwinds事件后又的有一起重大供应链安全事件。 随着云服务的广泛应用，云安全面临着日益增大的挑战。人为错误配置是主要的风险来源，无论是云租户还是云服务商都可能犯错。此外，连接第三方云服务引发的供应链攻击也备受关注。我们只有深入了解这些云上风险的根本原因，才能更有效地加强云安全防护，使云计算更好地助力产业升级。 回顾 20云02安3全年2重件大 2.1简介 2023年，云安全领域涌现了一系列重大事件，深刻影响着各行业，未来的挑战依然严峻。本章我们总结了2023年十大云安全事件并进行简单介绍，后续第三章至第五章我们将围绕这些云安全事件进行深度分析。 2严.2重微影软响AzureActiveDirectory配置错误导致Bing服务受到 2023年1月，Wiz发现了AzureActiveDirectory（AAD）中的一个新攻击向量，影响Microsoft的Bing服务。该攻击向量基于常见的AAD配置错误，使得配置错误的应用程序允许未授权的访问[6]。 研究人员发现了多个微软应用程序容易受到这种攻击的影响，包含Mag新闻、CNSAPI、PowerAutomate博客等应用程序，其中一个是用于驱动Bing服务的内容管理系统（CMS）。该漏洞能够导致攻击者接管该Bing服务，修改搜索结果，并有可能导致数百万Bing用户的Office365凭证被窃取。这些凭证进而允许对用户的私人电子邮件和文件进行访问。 Wiz将这次攻击命名为“#BingBang”。该漏洞利用方式十分简单，甚至无需编写任何代码。Wiz已将该问题报送至微软，相关漏洞也已经得到修复。此外，微软对AAD功能进行修改，以减少用户的风险暴露。 更详细的分析请参见研究案例10:微软AzureActiveDirectory由于配置错误导致Bing服务受到严重影响 2.3全球范围VMwareESXi服务器遭至勒索软件攻击 2023年2月3日左右，法国计算机紧急响应小组(CERT-FR)发出警告，有攻击者正通过利用一个在2021年3月就发现的VMwarevCenterServer远程代码执行漏洞（CVE-2021-21974），对全球多地未打补丁的VMwareESXi部署新型ESXiArgs勒索软件。ESXiArgs勒索软件会对ESXi服务器上的配置文件进行加密，可能导致虚拟机(VM)无法使用。 据悉，意大利、法国、芬兰、美国、加拿大等国均遭到攻击。根据安全大数据公司Censys检索披露[7]，欧洲和北美已经有千台服务器遭到破坏。奥地利计算机安全应急响应小组也发出警告，称“至少有3762个系统”受到了影响。意大利电信公司也因为该勒索攻击出现大规模互联网中断。开源勒索软件支付跟踪器Ransomwhere跟踪了四笔总价值 88,000美元的赎金。 2数.4据D遭ig遇ita泄lO露cean存储桶被公开访问，印度跨国银行数百万 ICICI银行是一家市值超过760亿美元的印度跨国企业，在印度各地有5000多个分支机构，并在全球至少15个国家设有分支机构。印度政府将ICICI银行的资产命名为“关键信息基础设施”，对其的任何伤害均会影响国家安全，然而其关键数据安全性却依然得不到保障[8]。2023年2月，Cybernews研究团队发现ICICI银行因其系统使用了DigitalOcean的云存储服务，但并未正确配置存储桶的访问控制权限，导致银行泄露了360万个敏感文件，其中包含银行用户的详细信息、信用卡号、姓名、护照、出生日期、家庭住址、电话号码、电子邮件、银行对账单、现任员工和求职者简历等重要信息，Cybernews研究团队立即联系了ICICI银行和印度计算机应急相应小组（CERT-IN），ICICI第一时间通过修改访问权限限制了存储桶的访问。 更详细的分析请参见研究案例7：DigitalOcean存储桶公开可访问，印度跨国银行数百万数据遭遇泄露 2至.5泄约露3TB托管至Azure上的美国内部军事电子邮件数据遭 2023年2月21日，美国在线新闻网站TechCrunc