研究人员发现各种云架构存在“大量”安全漏洞

安全 云安全
德国研究人员称,他们在亚马逊Web服务(AWS)中发现了一些错误,由此他们认为,在很多云架构中也存在着类似的错误,可能导致攻击者获取管理权限,从而盗取所有用户的数据。

德国研究人员称,他们在亚马逊Web服务(AWS)中发现了一些错误,由此他们认为,在很多云架构中也存在着类似的错误,可能导致攻击者获取管理权限,从而盗取所有用户的数据。

虽然研究人员称他们已将这些安全漏洞告知了AWS,而且AWS已经修复了这些漏洞,但他们认为同样类型的攻击针对其他的云服务同样有效,“因为相关的Web服务标准无法匹配性能和安全。”

德国波鸿鲁尔大学的一个研究团队利用多种XML签名封装攻击获取了不少客户账号的管理员权限,然后可以创建客户云的新实例,可以添加镜像或删除镜像。在另一个场合中,研究人员还利用跨站脚本攻击了开源的私有云软件框架Eucalyptus。

他们还发现亚马逊的服务也容易受到跨站脚本攻击。

“这不光是亚马逊的问题,”研究人员之一的Juraj Somorovsky说。“这些攻击都是些很普通的攻击类型。这说明公有云并不像表面看上去那么安全。这些问题在其他云架构中也能够发现。”

Somorovsky称,他们正在开发一个高性能库,再配以XML安全,便可消除可能被XML签名封装攻击利用的弱点。这项工作会在明年的某个时候完成。AWS承认存在签名封装攻击的可能性,并称已经与鲁尔大学合作改正了他们所发现的问题。AWS的一位发言人在邮件中称,“目前还没有客户受到影响。必须指出,这一潜在漏洞只涉及授权AWS API调用的很小一部分,而且只是非SSL端点调用的那部分,并非像报道所称的是一个可能广泛传播的漏洞。”

AWS已经发布了最佳实践列表,遵循最佳实践,客户是可以免遭鲁尔大学团队所发现的这类攻击和其他类型攻击的。下面就是AWS所发布的最佳时间列表:

● 只使用基于SSL安全的HTTPS端点调用AWS服务,确保客户端应用执行适当的对等认证程序。所有AWS API调用用到非SSL端点的比例极小,而且AWS未来可能会不支持非SSL API端点的使用。

● 在进行AWS管理控制台访问时,最好使用多要素认证(MFA)。

● 创建身份与访问管理(IAM)账户,该账户的作用和责任有限,并且仅对有特殊资源需求的账户开放权限。

● 有限制的API访问,与源IP更深互动,使用IAM源IP策略限制。

● 定期轮换AWS证书,包括密钥、X.509认证以及Keypair。

● 在使用AWS管理控制台时,尽量避免和其他网站有互动,只允许安全的互联网浏览行为。

● AWS客户还应考虑使用API访问机制而不用SAOP,如REST/Query。
 

责任编辑:鸢玮 来源: 网界网
相关推荐

2011-10-28 10:17:11

2020-08-12 08:08:02

安全漏洞数据

2013-01-23 09:34:32

2020-10-14 10:39:50

漏洞网络攻击网络安全

2014-12-25 09:51:32

2014-11-07 10:37:57

2013-08-09 13:13:32

2012-02-16 08:27:14

安全漏洞RSA算法

2014-02-14 15:44:46

2021-12-06 13:37:29

路由器漏洞安全

2010-04-19 10:32:07

2023-06-27 09:12:34

2022-10-09 11:03:46

漏洞宜家智能灯泡

2011-08-23 13:37:47

2023-07-07 15:44:12

漏洞网络安全

2019-05-22 08:11:51

Winnti恶意软件Linux

2012-07-31 09:18:35

Windows 8漏洞

2021-08-19 10:27:09

攻击漏洞苹果

2015-08-04 09:56:48

2021-09-26 11:00:55

漏洞网络安全网络攻击
点赞
收藏

51CTO技术栈公众号