AWS Glue漏洞可以让其他人接管云服务：凸显公共云的信任风险

知名的云服务提供商很容易被人利用，原因是使用受信任的核心服务，可以将单单一个漏洞变成全球性攻击。

AWS Glue漏洞的攻击链

云安全公司Orca Security在1月13日发布的分析报告中表示，AWS已堵住了其核心服务中的两个漏洞，其中一个漏洞可能让任何用户都可以访问和控制任何一家公司的基础架构。

虽然这两个漏洞现已修复，但整条攻击链（感染核心服务、提升权限以及使用该权限攻击其他用户）并不仅限于亚马逊这一家。Orca Security的首席技术官Yoav Alon表示，这种方法影响其他许多云供应商。他表示，问题的核心是服务之间缺少隔离，以及不同服务和用户的权限许可不够精细化。

该公司已经向其他云服务报告了类似的问题，但除非其披露流程到位，否则Alon 不会透露有关这些漏洞的详情。

他说：“我们认为这些是下一波严重漏洞，因为我们的信任对象由数据中心转移到了云服务——这是一件好事，因为云服务提供商比大多数公司更擅长安全。现在，云服务提供商的问题影响了你，而你甚至可能浑然不知。”

两个漏洞中较严重的漏洞出现在AWS Glue中，这是一种Serverless集成服务，让AWS用户就可以管理、清理和转换数据，并使数据存储区可供用户的其他服务使用。利用这个漏洞，攻击者可以感染这项服务，成为管理员；由于Glue服务受信任，攻击者可以使用其角色来访问其他用户的环境。

Orca在公告中声明，这个漏洞让该公司的研究人员可以“升级帐户内的权限，进而可以不受限制地访问该服务在服务区的所有资源，包括全面的管理权限。”

Orca的研究人员可以在与Glue服务有信任关系的其他AWS客户帐户中担任角色。Orca坚持认为，每个使用Glue服务的帐户至少有一个信任Glue服务的角色。

CloudFormation（CF）服务中的另一个漏洞让用户可以配置资源和云资产，让研究人员得以闯入CF服务器，作为AWS基础设施服务来运行。Orca Security在第二份公告中表示，该漏洞是XML外部实体（XXE）问题，可能允许攻击突破隔离不同AWS用户的保护措施。

AWS的代表在一份声明中说：“我们意识到了与AWS Glue ETL和AWS CloudFormation相关的问题，可以确认没有任何AWS客户帐户或数据受到影响。从Orca Security获悉此事后，我们立即在数小时内采取了行动，以应对该问题，并且为服务增加了额外的控制措施，以防再次发生。”

Orca的Alon表示，云提供商应努力改善服务的隔离机制，以防止攻击者利用核心服务中的漏洞来危及整个云的安全模型。2021年8月，类似的问题影响了Azure，当时云安全公司Wiz.io的研究人员发现微软集成数据科学功能Jupyter Notebooks与其Cosmo DB数据库即服务的方式存在缺陷。如果使用Jupyter Notebooks，攻击者可以访问其他用户的Cosmo DB 实例。

AWS漏洞凸显了云模型的优缺点。影响云提供商的安全问题常常使每个客户面临风险，大多数客户几乎无力保护其数据和环境。不妨与广泛的软件问题（比如Log4j漏洞）比较一下：安全和IT团队可以修补问题、监视攻击并采取变通办法。

不过，消除Log4j问题仍然成问题，因为不同的公司打补丁的速度不一样。Orca发现，在问题披露出来两周后，四分之三的客户仍然容易受到Log4j漏洞的攻击。据这家安全公司声称，另一方面，亚马逊在48小时内修复了Orca发现的Glue漏洞，在6天内修复了CloudFormation问题。

Alon说：“云提供商在安全方面做得很到位，但依然存在问题。如果他们更好地隔离，并在服务中创建一个更好的权限系统，可以防止许多这些的问题。如果他们的服务有问题，还需要更好地隔离其网络，拥有更好的安全模型。”

Orca Security在去年9月和10月发现了问题。他们使用假帐户来测试漏洞，防止研究人员泄露其他AWS客户的数据。亚马逊已修复了漏洞，补丁已经过Orca的测试，以确保补丁切实有效。