想象一下這樣的場景：你想要為你的客戶運行一個特殊的節(jié)日活動，并且你決定為它創(chuàng)建一個微型站點來托管所有的促銷材料、注冊表單等。你的開發(fā)人員開始工作，他們設計網(wǎng)站，他們在AWS或任何云計算服務上配置一個新的虛擬服務器來托管它，以及一個存儲桶來存儲網(wǎng)站的數(shù)據(jù)。

 

云服務提供商將從其可重復使用的IP地址池中為你的EC2實例分配一個可公開訪問的IP地址，并將在其域-Bucket-name下為你的存儲桶分配一個主機名——s3.Region-code.amazonaws.com——這樣你就可以通過API訪問它。

 

用戶需要訪問你的站點和搜索引擎，而機器人需要對其進行索引，因此下一步是在你的主域名上為其創(chuàng)建一個子域，并將其指向IP地址，以便可以從你的子域訪問Web服務器，然后，為S3存儲桶創(chuàng)建一個子域，并創(chuàng)建一條DNS CNAME記錄，將其指向存儲桶的AWS主機名。假設你還有一個移動應用程序?qū)?shù)據(jù)發(fā)送到該競選網(wǎng)站，因此主機名也會成為該應用程序的代碼。由于統(tǒng)計數(shù)據(jù)跟蹤或數(shù)據(jù)庫備份等原因，你還有其他內(nèi)部應用程序和工具需要與網(wǎng)站集成。

 

你現(xiàn)在創(chuàng)建的是位于不同位置的大量記錄，這些記錄實質(zhì)上是臨時的云資源。如果你曾經(jīng)刪除這些云資產(chǎn)，因為它們已經(jīng)達到了它們的目的，但你沒有同時刪除你的開發(fā)人員和基礎設施工程師為它們創(chuàng)建的記錄，那么你就產(chǎn)生了很大的風險。

 

 

攻擊者可以從亞馬遜獲得相同的IP地址，因為它現(xiàn)在是免費的，并且他們有你的子域指向它，因此他們可以創(chuàng)建釣魚站點或惡意軟件服務站點。他們可以使用相同的名稱注冊S3存儲桶，因為他們在你的應用程序代碼中發(fā)現(xiàn)了一個引用，現(xiàn)在你的應用程序正在向他們擁有的存儲桶發(fā)送敏感數(shù)據(jù)。

 

這是TikTok安全工程師Abdullah Al-Sultani最近在布加勒斯特DefCamp安全會議上介紹的場景。他將這次襲擊稱為“云遵守”。它不僅僅是DNS記錄，因為一旦賬戶關(guān)閉，進行資源和名稱重新分配的云服務的類型和數(shù)量非常廣泛。公司越大，這個影子云記錄問題就越大。

 

 

在TikTok通過其漏洞賞金計劃收到報告后，al-Sultani遇到了云蹲守的情況，報告涉及記者接管TikTok子域名。他的團隊很快意識到，試圖找到所有過時的記錄將是一項嚴肅的任務，因為TikTok的母公司字節(jié)跳動在世界上許多國家擁有超過10萬名員工以及開發(fā)和基礎設施團隊，它還在不同地區(qū)為其不同的應用程序提供了數(shù)千個域名。

 

為了解決這個問題，TikTok安全團隊構(gòu)建了一個內(nèi)部工具，該工具遍歷該公司的所有域名，通過向發(fā)送HTTP或DNS請求來自動測試所有CNAME記錄，識別指向AWS、Azure、Google Cloud和其他第三方服務提供商等云提供商的IP范圍的所有域和子域，然后檢查這些IP記錄是否仍然有效并分配給TikTok。幸運的是，該公司已經(jīng)在一個內(nèi)部數(shù)據(jù)庫中跟蹤云提供商分配給其資產(chǎn)的IP地址，但許多公司可能不會進行這種類型的跟蹤。

 

Sultani并不是第一個強調(diào)蹲守云層的危險的人。去年，賓夕法尼亞州立大學的一組研究人員通過在亞馬遜的美國東部地區(qū)部署300萬臺EC2服務器來分析公共云上IP重復使用的風險，這些服務器獲得了150萬個唯一的IP地址，約占該地區(qū)可用池的56%。在進入這些IP地址的流量中，研究人員發(fā)現(xiàn)了金融交易、GPS位置數(shù)據(jù)和個人身份信息。

 

研究人員在他們的研究論文中表示：“我們確定了四類云服務、七類第三方服務和域名系統(tǒng)作為可利用的潛在配置來源。我們發(fā)現(xiàn)，可利用的配置很常見，而且在許多情況下極其危險。在七類第三方服務中，我們確定了跨越數(shù)百臺服務器(例如數(shù)據(jù)庫、緩存、移動應用程序和Web服務)的數(shù)十個可利用的軟件系統(tǒng)。最后，我們確定了覆蓋231個eTLD的5446個可利用域名——其中105個在前10000個域名中，23個在前1000個熱門域名中。”

 

 

云蹲守問題的風險甚至可以從第三方軟件組件繼承。6月，來自Checkmarx的研究人員警告說，攻擊者正在掃描NPM包，以尋找對S3存儲桶的引用。如果他們發(fā)現(xiàn)一個不再存在的存儲桶，他們會注冊它。在許多情況下，這些包的開發(fā)人員選擇使用S3存儲桶來存儲在包安裝期間下載和執(zhí)行的預編譯二進制文件。因此，如果攻擊者重新注冊被放棄的存儲桶，他們可以在信任受影響的NPM包的用戶的系統(tǒng)上執(zhí)行遠程代碼執(zhí)行，因為他們可以托管自己的惡意二進制文件。

 

在一個類似的例子中，今年早些時候，Aqua Security的研究人員表明，攻擊者可以重新注冊已被刪除或重命名的GitHub存儲庫。如果應用程序或文檔仍然指向它們，則可以使用它們來提供惡意軟件，研究人員將這種攻擊稱為RepoJack。

 

 

攻擊面非常大，但公司需要從某個地方開始，越快越好。IP重用和DNS方案似乎是最普遍的，可以通過以下幾種方式緩解：使用云提供商保留的IP地址，這意味著在公司顯式釋放它們之前，它們不會被釋放回共享池，通過將它們自己的IP地址傳輸?shù)皆疲斢脩舨恍枰苯釉L問這些服務器時，通過在服務之間使用私有(內(nèi)部)IP地址，或者通過使用由云提供商提供的IPv6地址，因為它們的數(shù)量太大，不太可能永遠被重復使用。

 

公司還應該執(zhí)行一項策略，防止在應用程序中對IP地址進行硬編碼，而應該對其所有服務使用DNS名稱。他們應該定期維護這些記錄并刪除陳舊的記錄，但讓所有東西都可以通過DNS尋址提供了一個中央管理位置，而不是追查硬編碼的IP地址。

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。