新闻快讯
< >

亚马逊S3存储桶应【警惕】“影子写手”攻击

E安全11月8日讯 Skyhigh Networks的研究人员警告“影子写手”(GhostWriter)攻击——允许公共写入权限(Write Access)的亚马逊S3存储桶会导致恶意第三方发起中间人攻击(MiTM Attack)。

 “影子写手”攻击:亚马逊S3存储桶配置错误会使用户遭遇中间人攻击-E安全

利用GhostWriter的攻击者需扫描互联网识别配置错误的S3存储桶——不仅仅是公开暴露在网上的S3存储桶,还包括服务器所有者忘记设置写入权限的存储桶。

GhostWriter -用恶意文件替换合法文件

攻击者可利用这些S3配置问题用恶意文件替换原始文件。Skyhigh Networks的首席科学家Sekhar Sarukkai(谢卡尔·萨卢凯)表示,存储JavaScript 或其它代码的S3存储桶所有者应特别注意该问题,确保第三方无法秘密重写代码执行路过式攻击(drive-by attack)、比特币挖矿或其它漏洞利用行为。
Sarukkai详述了其中一类攻击。例如,如果攻击者发现暴露的S3存储桶,其写入权限属于一家新闻通讯社,攻击者可替换代码,让收入流入自己的账户,或拦截并转走订阅付费。

企业应该高度警惕

当攻击者利用GhostWriter执行中间人攻击、拦截输入流量时,Sarukkai认为这种情况最致命。此类攻击秘密进行,难以捕捉,因为它利用的是大多数组织机构对云提供商的信任。
攻击者可利用GhostWriter攻击企业终端用户、职员和客户,或入侵公司内部网络搜索敏感数据。要达到这些目的,要做的就是利用配置错误的S3存储桶。

 “影子写手”攻击:亚马逊S3存储桶配置错误会使用户遭遇中间人攻击-E安全

云服务器是高价值目标

可悲的是,这些攻击类型并非在理论上可行。美媒称,今年早些时候,某黑客组织将矛头对准云提供商。这支间谍组织感染了云提供商,企图深入目标内部网络。由于大多数企业使用基于云的服务执行任务操作,例如文件共享、内网应用、人力资源管理等。
目前无法证实该黑客组织使用了GhostWriter攻击。GhostWriter的效果与这支黑客组织的做法相同:发现暴露S3存储桶的攻击者可以执行类似的攻击,替换文件并在输入流量上秘密执行中间人攻击,从而深入目标企业内部。
安全研究员Dylan Katz(狄伦·卡茨)表示,这种攻击与俄罗斯网络间谍组织APT28的行径类似,APT28经常用带有恶意软件的文件替换共享目录上的合法文件。
扫描1600多个Amazon S3存储桶(供企业网络内部访问)后,Skyhigh表示,其中4%的存储桶易遭遇GhostWriter攻击,允许远程未经验证的用户写入存储桶。
Skyhigh今年9月发布的研究显示,7%的Amazon S3存储桶暴露给了远程用户,任何人均可浏览其中的内容。

人为过失不容忽视

Katz认为,S3存储桶与MongoDB存在相同的问题。管理员认为它们在默认的情况下是安全的,防止用户出错的警告和文档解释不够。如果有简单的方法进行设置,用户会采取这样的方式防止出现问题。

1506051689107000988.png

2017年多起数据泄露涉及S3存储桶

过去几个月,配置错误的S3存储桶导致多起数据泄露事件,如下:

可以想象,黑客一旦拥有这些服务器的写入权限,执行的操远不止是浏览和下载文件这么简单。企业应深入了解S3服务器的权限,详细信息参见:

  • 管理访问权限:(http://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-overview.html )

  • 管理Amazon S3资源的访问权限(简介):(http://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html )

  • 管理Amazon S3资源的访问权限:(http://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html )

相关阅读:

亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露
全球第六大传媒公司Viacom因亚马逊AWS云服务器配置不当致大量敏感数据被泄
亚马逊AWS获美国防部IL5临时授权,能满足国防部最机密数据存储需求
亚马逊AWS服务器信息泄露 180万选民信息被曝光
昨夜亚马逊AWS出现故障 多家互联网服务受影响

亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露
宕机原因查明:员工“乌龙指”致 AWS 误移除 S3 子系统中的大量站点

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。