安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告,指出网络管理员经常忽略亚马逊( AWS )访问控制列表( ACL )规则,导致服务器因错误配置导致大量数据在线泄露。
Detectify 公司认为,尽管服务器配置错误的原因各不相同,但在 AWS S3 存储设置访问控制时,多数漏洞服务器均由常见问题导致。随后,研究人员通过一系列不同错误配置原因证实,由于服务器与目标系统 ACL 的配置极其薄弱,导致黑客可以随时操控、监视与破坏高端网站。
据悉,在该份安全报告中,Rosén 指出 AWS 服务器中存在一处关键漏洞,允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确,攻击者便可访问 S3 列表并读取文件获取信息。此外,攻击者不仅可以将文件写入并上传至 S3 存储服务器中,还可更改用户访问权限。研究人员表示,由于 AWS S3 的访问控制列表配置错误,攻击者在获取访问权限后允许访问服务器敏感数据。
如果将访问控制设置为 “ AuthenticatedUsers ”,就意味着任何用户均拥有一套有效的 AWS 凭据,其基本由用户注册 AWS 账户获得。不过,用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误,那么攻击者唯一需要的就是服务器名称信息。
Detectify 表示,识别服务器名称信息及其所属公司的操作极其简单,存在多种不同方法强制 S3 存储服务器显示,包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示,他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现,目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。
日前,亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确,可能会导致泄漏数据,但他们无法防止用户操作无错误出现。目前,AWS 已提供一些工具,以便用户更改并锁定服务器访问权限。
原作者:Tom Spring,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册