Capital One遭攻击突出AWS的SSRF问题

日期: 2019-08-11 作者:Rob WrightChris Kanaracus翻译:邹铮 来源:TechTarget中国 英文

近日Capital One遭攻击,引发大家对AWS中服务器端请求伪造(SSRF)漏洞的担忧,有些安全专业人士称,该漏洞可能是导致此次攻击的主要因素。

上周一,Capital One披露一次大规模的数据泄露事件,其中攻击者获得超过1亿名申请Capital One信用卡的客户和个人的数据。嫌疑黑客Paige Thompson上周被美国联邦调查局逮捕,并被指控计算机欺诈和滥用罪。

根据针对Thompson的刑事起诉书,她声称获得了一个名为“******-WAF-Role”帐户的登录凭据(WAF指的是网络应用程序防火墙),然后该账户允许她提取超过700个AWS S3存储桶和文件夹清单,并从中提取数据。该起诉书并没有具体说明她如何获得登陆凭证,尽管Capital One和AWS都引用了“防火墙错误配置”作为此次数据泄露事故的原因。

推测:SSRF漏洞被利用

但是,有些专家推测攻击者是利用服务器端请求漏洞来获取登录凭据。

Cloudflare公司安全专家Evan Johnson在他的个人博客上谈到有关Capital One的黑客攻击:“种种迹象都表明攻击者利用了一种被称为服务器端请求伪造(SSRF)的漏洞来执行攻击。”Johnson解释说,SSRF漏洞允许攻击者欺骗目标服务器连接到它原本不打算连接的系统。

Johnson推测攻击者利用SSRF漏洞连接到Capital One EC2实例,然后访问AWS元数据服务,该服务可用于检索临时凭证。Johnson写道,当访问元数据服务后,攻击者就可以“非常容易地”访问AWS中的IAM角色。

他写道:“访问该服务不需要身份验证和授权。通过使用curl,可以很容易地探索元数据服务中可用的静态文件。”

在Johnson发文后,根据一位了解Capital One数据泄露事故调查工作的匿名消息人士称,信息安全记者Brian Krebs报告称,SSRF漏洞被用来访问运行Web应用程序防火墙的服务器。

曾在Capital One工作但希望保持匿名的信息安全专业人士告诉SearchSecurity,Johnson的推断站得住脚。该消息人士称,SSRF漏洞将允许未经授权的一方连接到WAF实例上的元数据服务。该消息人士强调他们不了解Capital One的AWS环境中当前的IAM策略或配置,但表示,一旦建立了对元数据服务的访问权限,攻击者就可以获得WAF角色凭证,以及其他可能的凭据。

CloudZero公司创始人兼首席执行官Erik Peterson也认同Johnson的推论,并表示SSRF早已成为云服务提供商(包括AWS)的已知威胁。Peterson与Veracode公司在2015年RSA会议联合做了一个演示,其中部分描述了如何使用SSRF漏洞获取云环境的元数据(例如API密钥)和登录凭证。

包括Johnson和Peterson在内的几位专家表示,企业可要求使用特殊的HTTP header与AWS元数据服务进行通信,这可缓解部分SSRF威胁(谷歌目前对尝试访问其云元数据的请求需要此类header)。

Peterson说:“你可以对HTTP header做些简单处理以防止此类攻击,但亚马逊没有这样做。在我的演讲之后,我向AWS团队的成员推荐了这种做法,但他们并没有这样做。”

自Peterson 2015年RSAC会议以来,AWS是否试图解决SSRF问题,我们尚不清楚。但至少此次攻击事件表示问题仍然存在。Netflix高级安全软件工程师Michael Wardrop在回应Johnson博客文章的推文(现已删除)中称,Netflix要求AWS效仿GCP [Google Cloud Platform]为元数据服务请求提供特殊header,不幸的是我们没有得到满意的响应。”

当被问及Johnson的博客文章和Wardrop的推文时,一位AWS发言人坚持认为,其云基础设施没有问题。

这位发言人在声明中写道:“有人称Capital One数据泄露事故是由IAM导致,这是不准确的说法。此次入侵是由于Web应用防火墙的错误配置导致,而不是底层的基于云的基础设施造成。”

“客户可以通过额外的安全深度层来更好地保护自己,包括他们如何设置权限、他们为每个经身份验证的角色允许哪些访问权限、他们从我们的平台部署的其他保护措施,以及他们使用和监控哪些入侵检测功能和警报。”

该发言人补充说,AWS为客户提供“比在其他任何地方(包括在他们自己的数据中心内)都更多的安全功能和层,并且,当得到广泛使用、正确配置和监控时,AWS可提供无与伦比的安全性,超过13年的客户安全使用记录也很好地证明这种安全性。”

在AWS向SearchSecurity发送声明后,Wardrop的推文被删除。

解决SSRF威胁

有些安全专业人员不仅支持Johnson关于Capital One 攻击事件的理论,而且还警告说未来的SSRF攻击可能危及企业客户。

托管SD-WAN供应商Masergy公司创新副总裁Ray Watson说:“当我们看到[Capital One]数据泄露事故时,我们首先关注的是,确定是否其他人面临风险。我们发现可能涉及零日攻击,但我们排除了这一点。”

根据与信息安全专家和AWS专家的讨论,Watson表示,SSRF漏洞可很好的解释,Thompson如何通过Capital One的元数据服务访问WAF角色登录凭证。尽管他说这不是零日,但SSRF漏洞是公共云客户需要关注的重要问题。

咨询公司Summit Route的AWS安全专家Scott Piper表示,他“非常同意”Johnson的理论,并表示,AWS早就面临SSRF威胁问题。

Piper说:“这是AWS中已知的漏洞,早在2014年就在信息安全大会上讨论过,并且大家一直在要求AWS改进,并且,对于AWS来说,这应该是很容易修复的问题。”

但Peterson提出了另一种关于HTTP header要求的观点。他表示:“这将是很大的变化,因为所有连接到元数据服务的API(数十个,可能是数百个)都会被破坏。”

Peterson说,解决这个问题的另一种方法是通过IAM。

他表示:“即使攻击者获得WAF登录凭证,如果该登录凭证仅限于非常具体的权限,则也无关紧要。WAF永远不会完美,应用程序安全性业永远不会完美,但如果你遵循最小特权原则,你至少可以减少攻击的影响范围,并限制攻击者可以实现的目标。”

曾在Capital One工作的消息人士表示同意,尽管他们表示导航AWS IAM工具可能具有挑战性。虽然AWS已经能让企业创建极其细粒度的IAM策略和权限,但他们表示,这也使该云提供商的IAM变得“深奥”。

该消息人士称:“当我在Capital One工作时,他们有一整个团队致力于AWS IAM,因为这非常复杂。设置权限也很棘手。你可能急于推出代码,如果你设置的权限太窄,你就会被故障排除请求淹没。所以最终发生的事情是,你设置了更宽的权限和更多的访问权限。”

这位消息人士还表示,Capital One的本土AWS安全工具Cloud Custodian旨在检测过多的权限,例如,WAF角色,但不知道出于何种原因,没有避免这次数据泄露事故。该消息人士称:“Cloud Custodian做了很多事情,比如[AWS]安全组验证和IAM策略验证。但云计算中有太多事情发生,小问题的出现防不胜防,并且,不幸的是,还可能导致这样的数据泄露事故。”去年秋天,Cloud Custodian被开放给开源。

Summit Route的Piper说,虽然它可能无法满足所有客户,但AWS可能会公开回应此事。

他表示:“AWS的理念是,在‘共享’责任模型方面划一条非常严格的界限,我倾向于称之为分离责任模型,因为其实并不涉及共享。访问元数据服务是客户需要保护的问题,所以他们没有任何意义来保护它,因为它可被滥用的唯一方法就是有人利用客户在EC2上安装的东西。至少,这是我对他们的理论的理解。”

其他潜在数据泄露事故

根据被指控攻击者的Slack消息显示,其他组织可能已遭到入侵。这些组织包括Vodafone、美国俄亥俄州交通部、密歇根州立大学和Infoblox。

其中这些组织告诉SearchSecurity,他们正在进行调查,但没有发现任何证据表明他们的网络已被入侵。

然而,前Capital One信息安全工作者表示,这样的证据很难找到,因为从表面上看,这种活动将类似于正常流量。

该消息人士称:“信噪比非常低,这就像在大海中捞针一样。”

Peterson同意并表示,虽然像AWS CloudTrail这样的安全工具会收集大量数据,但要找到可能已经遭受SSRF攻击的位置以及访问了哪个实例和相应的元数据服务,这将是一个挑战。同样困难的是,寻找与特定临时凭证(例如WAF角色)相关的异常活动。

Peterson 称:“所有活动都记录在CloudTrail中,但它非常冗长,很多人并不会关注所有数据,直到发生事故。每个API调用都会被记录下来,但如果我有登录凭据并且正在跳过其他EC2实例,那么这根本不会让人感到惊讶。”

Piper表示,如果在Capital One攻击事故中使用了SSRF漏洞,那对AWS来说并不是好事。

“Capital One拥有最受尊敬的AWS安全团队之一。他们拥有最受欢迎的云安全开源工具,他们的CISO是唯一与AWS的CISO共同站在re:Inforce会议演讲台的非AWS人员。我认为这种情况可能是一个警钟,AWS应该做出一些改进。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • Sophos:“重量级”勒索软件索要高额赎金

    顶级勒索软件团伙正在变得越来越复杂,他们采用新的逃避技术,也在索要更多的赎金。 根据最新发布的《Sophos […]

  • 5个安全运营中心最佳做法

    研究数据表明,安全运营中心(SOC)可以显著推动企业的网络安全计划,这使SOC成为有效企业网络安全计划的基石。 […]

  • 了解零信任-SDP关系

    对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信 […]

  • McAfee启动IPO,融资6.2亿美元

    在其首次公开募股的20多年后,McAfee再次成为一家上市公司。 该端点安全公司估计筹集了6.2亿美元,以股票 […]