绿盟科技2022年度网络空间测绘年报·云上风险测绘篇

网络空间测绘报告 绿盟科技2022年度 ⸺云上风险测绘篇 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 CONTENTS 执行摘要001 12022年重大公有云安全事件回顾002 1.1简介003 1.2知名密码管理软件LastPass遭网络攻击003 1.3Wiz发现PostgreSQL漏洞，影响多家公有云厂商004 1.4土耳其Pegasus航空公司泄露6.5TB敏感数据006 1.5云服务提供商Rackspace公司遭遇勒索软件攻击009 1.6微软被曝泄露65000多个实体的敏感数据012 1.7小结013 2云上风险测绘专题分析014 2.1简介015 2.2对象存储服务风险案例分析015 2.3公有云凭证泄露风险案例分析019 2.4云原生服务风险测绘分析022 2.5源码仓库暴露测绘分析032 2.6小结037 3总结与展望038 参考文献040 观点1015 目前对象存储资产通常处于不安全状态，虽然公有云提供商提供了安全的策略，但是由于用户的错误配置等原因，很多的存储桶存储资产可以公开访问，这也是许多数据泄露事件的原因。 观点2019 GitGuardian报告指出，"2022年超过1000万个泄露的硬编码凭证被推送到GitHub上，比2021年增加了约67%"，这些硬编码凭证中很大一部分具有公司云服务资源的访问权限，由此可见，潜伏在源代码中的硬编码凭证是影响云上数据安全的重要因素之一。及时发现并消除云凭证的泄露隐患，是保证云上数据安全必不可少的环节。 观点3022 近年来，随着云原生概念的兴起，互联网上暴露的云原生服务越来越多，大量企事业单位、个人用户已逐步将各自业务以云原生的部署形式上云，这一方面说明了云原生正在大规模落地及普及，另一方面，逐渐增多的云原生服务也为攻击者提供了更多的攻击面，通过测绘技术，我们可以进一步对云原生资产及风险进行态势感知，从而先于攻击者发现风险。 现该类仓库中存放着大量重要机构相关系统的源代码，且此类风险事件大多数是由项 Gogs、Gitea、Gitblit等自建托管代码仓库的安全性往往容易被人忽略，但我们发 目外包开发而引起的。这些安全问题若被有心者利用，可能会造成非常大的影响，因 此我们应对外包开发安全项目进行有效管控，避免重要源代码遭到泄露。 观点4033 观察1 015 我们统计了2022年全球数据泄露事件，其中因对象存储泄露事件就达到了10多 月土耳其航空公司飞马航空因对象存储服务的错误配置导致泄漏量了2300万，总计 起。泄露原因包括用户错误配置、凭证泄露、公有云提供商的错误配置等。2022年6 6.5TB的数据，包含大量的敏感数据。2022年10月，因微软配置错误的对象存储， 更是泄露了全球超过65000家企业或组织的数据。可见存储桶泄露导致隐私泄露风险 之大，应引起足够重视。 观察2 023 Etcd资产暴露数量在国内10377个，未授权访问漏洞以及DDoS漏洞占资产脆弱 13794漏洞，319个资产被曝出含有CVE-2020-29662漏洞,179个资产被曝出含有 性占比较高；Harbor资产暴露数量2557个，有近400个资产被曝出含有CVE-2020- 1126个，端口主要分布在9000、443、80，未授权访问漏洞占比最高，约占资产总 CVE-2019-19030漏洞，总和约占所有资产数的35%。ApacheAPISIX资产暴露数量 数60%。 观察3 032 名者可以直接访问并查看仓库中的源代码信息。我们发现此类安全问题大部分和软件 国内大量Gogs、Gitea、Gitblit的自建托管代码仓库存在着未授权访问漏洞，匿 开发商相关，软件开发商给甲方去建设信息化系统时，忽略掉了源代码仓库的安全 问题。 2022网络空间测绘年报——云上风险测绘篇 执行摘要 2022年是一个极不平凡的年份，随着新冠疫情形势的变化，远程办公和线上网课已经成为了常态，防疫相关服务也是人们出行和生活的必备选择。与此同时，国际形势方面，俄乌冲突持续升级，两国的网络战也相继打响，网络空间安全的重要性再次被世界所认识。在这样一个环境中，数字中国和网络强国建设的稳步推进，成为了人们关注的焦点。中国共产党第二十次全国代表大会上的报告中，提出了许多关于网络安全的重要指示，其中包括加强全媒体传播体系建设，塑造主流舆论新格局，健全网络综合治理体系等。在数字中国和网络强国建设的背景下，必定会有越来越多的新兴的资产服务出现在互联网上，这些服务的暴露面以及脆弱性管理对于网络安全而言仍是重要挑战。特别是云安全，其在数字中国和网络强国建设中的重要性日益凸显。 绿盟科技2022年网络空间测绘报告“云上风险测绘篇”，将会围绕2022年重大云安全事件和绿盟科技星云实验室、孵化中心合作进行的云上风险发现研究展开。报告的主要内容如下： 第一章，我们简要分析了2022年五大云安全典型案例。基于时下热点事件分析网络安全态势，有助于我们“以史为鉴”，预防潜在同类安全事件发生，把握云安全态势，保证整体网络空间的稳态运行，进而保障经济稳定以及安全发展。 第二章，我们对云计算安全风险态势及事件进行了回顾和分析。首先，我们关注不安全的对象存储服务，可以发现，用户的错误配置等情况屡见不鲜；接着，我们展示了公有云凭证泄露可能带来的严重后果，这些凭证提供了访问、修改公有云资产的权限；另外，随着云原生生态的持续发展壮大，互联网上暴露的云原生服务越来越多，这也为攻击者提供了更多的攻击面；最后，自建托管代码仓库的安全性往往易被忽略，但有时该类仓库中可能存放大量重要源代码，因此也成为攻击者关注的目标之一。我们希望借助这些测绘研究帮助大家看到云上风险，从而有效收敛云上风险。 001 20有2云20安年重全1回大顾件公 1.1简介 2022年，云安全领域发生了许多重大事件。这些事件的发生提醒我们，云安全已经成为互联网时代的重要课题，在本章中，我们将详细介绍包括LastPass遭受网络攻击事件、影响多家公有云厂商的PostgreSQL漏洞、土耳其Pegasus航空公司泄露6.5TB敏感数据事件、云服务提供商Rackspace遭遇勒索软件攻击事件和微软65000项数据泄露事件的若干典型事件的背景、原因和启示，以期为读者提供有益的参考和借鉴。同时，我们也希望通过这些事件的介绍，加强读者对云安全的认识和重视。 1.2知名密码管理软件LastPass遭网络攻击 1.2.1事件回顾 LastPass是全球知名的密码管理软件，据称全球有超过3300万人和10万家企业都在使用LastPass。2022年11月30日，LastPass官方透露遭黑客攻击，攻击者入侵了其云存储 数据库，窃取了客户的重要数据。 这已经是LastPass在2022一年内第二次因云存储漏洞而引发的安全事件。 1.2.2原理简述 LastPass是一款在线密码管理软件，支持以浏览器插件的形式存储用户的密码信息，可以帮助用户实现网页的快速登录，免受忘记密码的烦恼。 此前在2022年8月25日，LastPass曾在官网发布了一则安全事件公告，称两周前在公司开发环境的某些部分检测到一些异常活动。通过与网络安全公司Mandiant合作进行应急与取证，确认两周前遭到了黑客攻击，攻击者是通过一个开发人员的帐户访问了LastPass的开发环境，并窃取了部分源代码和一些专有的LastPass技术信息，整个过程持续了四天时间，但官方称最终没有发现对客户数据或加密密码保险库的任何访问。 LastPass使用云存储服务来存储生产数据的存档备份，而攻击者正是利用从开发环境中窃取的“云存储访问密钥和双存储容器解密密钥”，获得了对Lastpass云存储的访问。该访问权限可造成客户基本账户信息和相关元数据的信息泄露，包括公司名称、用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址等，但不包括信用卡号码。 攻击者还能够从加密的存储容器中复制客户的保险库数据备份，这些数据以专有的二进制格式存储，既包含未加密的数据如网站URL，也包含完全加密的敏感字段如网站用户名、密码、安全笔记和表格填写的数据。 1.2.3事件分析 经过此次事件，LastPass的客户会受到哪些影响呢？ LastPass官方称，对于未加密的客户信息，如上文中提及的账单地址、电子邮件地址等以未加密的形式存储的数据，一旦并窃取，便会被攻击者知晓。但用户的加密数据（如用户在该软件上保存的密码）和主密码仍然是安全的。因为LastPass不会存储和维护用户的主密码。而加密数据则采用256位AES加密，只有用每个用户的主密码得出的唯一加密密钥才能解密，因此安全事件发生后，LastPass称用户不用执行任何额外的操作。 攻击者如何获取LastPass开发环境的初始访问权限未能得知，但由于LastPass具有较强的数据保护意识和严格的数据保护方案，导致此次安全事件的影响面缩小，否则将造成更大的恐慌。 同时发生在密码管理软件中的安全事件也给了我们一些警告： 1.数据加密是保护数据安全的有力措施。通过严格的数据加密手段，可以在发生数据泄露事件时将危害大大降低，也能给用户打一剂“强心针”。 2.公有云上的数据存储服务固然好用，但在使用的同时也仍需严格的访问控制和权限策略，遵守官方的安全使用规范，否则数据上“云”将是一把双刃剑。 3.随着互联网的发展和众多不同功能的应用程序的诞生，由于人的记忆力有限，用户趋向于使用相同的密码来管理不同应用，或者使用密码管理软件来管理复杂的密码，一旦此类第三方软件或是某个应用发生密码泄露事件，便会“牵一发而动全身”，导致无辜的应用受到牵连，引发数据安全风险，因此应采用安全的密码使用策略，如增大密码复杂度，定期更换凭证等，来保证数据安全。 1.3Wiz发现PostgreSQL漏洞，影响多家公有云厂商 1.3.1事件回顾 PostgreSQL是一款开源的对象-关系数据库管理系统，由于其成熟、稳定的特点、大多数CSP都已将PostgreSQL作为数据存储的云服务提供，即PostgreSQL-as-a-Service。 CSP为了PostgreSQL-as-a-Service的安全性，无法将PostgreSQL的原始管理能力赋予用户。加之PostgreSQL权限管理模型具有局限性，一些CSP通过对PostgreSQL进行自定义的扩展和修改，为用户赋予了部分管理功能，同时还要限制用户不安全的操作。但CSP对PostgreSQL修改仍存在一些安全漏洞。攻击者利用相关漏洞可以非法地实现角色权限提升，访问PostgreSQL真实文件系统，或在底层服务器上执行任意命令。2022年1月起来自Wiz的安全研究人员发现GCP、Azure等CPS托管的PostgreSQL-as-a-Service存在安全漏洞。攻击者可以通过权限提升或执行越权操作，在服务运行的实例上实现容器逃逸或突破隔离未授权地访问其他用户数据。 1.3.2原理简述 GCP的CloudSQL服务存在的容器逃逸漏洞： GCP使用传统的数据库引擎MySQL、PostgreSQL和SQLServer为客户提供数据库托管服务—CloudSQL。CloudSQL的角色管理模型