譯自：Top Cloud Native Threats and Vulnerabilities of 2024[1]

作者：Erin Stephan; Aqua Team

云原生安全漏洞是指任何威脅參與者可以利用的風(fēng)險(xiǎn)，包括軟件缺陷、不安全的代碼、錯(cuò)誤配置的云、IAM、API等等。

云環(huán)境的復(fù)雜性意味著存在幾乎無(wú)限數(shù)量的潛在安全風(fēng)險(xiǎn)和漏洞，這些風(fēng)險(xiǎn)和漏洞可能出現(xiàn)在云基礎(chǔ)設(shè)施或工作負(fù)載中。也就是說(shuō)，一些云安全威脅比其他威脅更為普遍——了解哪些風(fēng)險(xiǎn)和漏洞是趨勢(shì)的關(guān)鍵在于了解在管理組織的攻擊面時(shí)需要優(yōu)先考慮什么。為此，本文詳細(xì)介紹了2024年出現(xiàn)的七個(gè)最突出的云威脅和漏洞，其中包括Aqua研究人員發(fā)現(xiàn)的幾個(gè)漏洞。

什么是云原生漏洞？

云原生安全漏洞是指任何類(lèi)型的威脅或風(fēng)險(xiǎn)，威脅參與者可以利用這些威脅或風(fēng)險(xiǎn)來(lái)破壞云原生服務(wù)，例如容器。常見(jiàn)云漏洞類(lèi)型的示例包括：

? 運(yùn)行在云服務(wù)器上的操作系統(tǒng)服務(wù)器中的軟件漏洞。

? 容器鏡像中的不安全代碼[2]用于將應(yīng)用程序部署到云中。

? 容器內(nèi)的錯(cuò)誤配置，這是可能導(dǎo)致容器化應(yīng)用程序被破壞的另一個(gè)風(fēng)險(xiǎn)。

? 錯(cuò)誤配置的身份和訪問(wèn)管理[3](IAM)設(shè)置，這可能導(dǎo)致敏感信息泄露或?yàn)榭刂茟?yīng)用程序提供攻擊媒介。

? 云API中的缺陷，威脅參與者可以濫用這些缺陷來(lái)獲得未經(jīng)授權(quán)的訪問(wèn)或竊取敏感數(shù)據(jù)。

有效的云安全取決于在攻擊者利用這些威脅之前發(fā)現(xiàn)和修復(fù)這些威脅的能力。

2024年七大云原生威脅和漏洞

云安全工具的目標(biāo)應(yīng)該是發(fā)現(xiàn)所有類(lèi)型的安全風(fēng)險(xiǎn)和漏洞。但是，再次強(qiáng)調(diào)，關(guān)注最新、最常見(jiàn)或最嚴(yán)重的風(fēng)險(xiǎn)是幫助決定優(yōu)先處理哪些類(lèi)型威脅的一種方法。

以下容器和云漏洞屬于此類(lèi)別，因?yàn)榇蠖鄶?shù)都是相對(duì)新穎的威脅，如果任其存在，可能會(huì)對(duì)云環(huán)境和基于云的工作負(fù)載造成重大損害。

1 Perfctl

正如Aqua在2024年10月報(bào)道的那樣[4]，perfctl是一種針對(duì)Linux服務(wù)器的惡意軟件。該惡意軟件已經(jīng)活躍了三到四年，其目標(biāo)是在訪問(wèn)受害者服務(wù)器后運(yùn)行加密挖掘軟件作為加密劫持攻擊[5]的一部分。為此，它利用Polkit漏洞(CVE-2021-4034[6])來(lái)發(fā)起權(quán)限提升攻擊。

使perfctl尤其值得注意——而且特別危險(xiǎn)的是——它用來(lái)逃避檢測(cè)的復(fù)雜技術(shù)。它依賴(lài)于rootkit來(lái)隱藏其存在，在用戶(hù)在系統(tǒng)中活動(dòng)時(shí)停止運(yùn)行（為了避免產(chǎn)生可能提醒用戶(hù)注意漏洞的“噪音”），并刪除其二進(jìn)制文件并作為后臺(tái)服務(wù)運(yùn)行。

諸如網(wǎng)絡(luò)分段[7]和文件執(zhí)行限制之類(lèi)的實(shí)踐可以增強(qiáng)服務(wù)器對(duì)這種惡意軟件和類(lèi)似惡意軟件的防御能力。

2 Bucket Monopoly

Bucket Monopoly[8]是Amazon Web Services (AWS)云中運(yùn)行的六項(xiàng)服務(wù)中的一個(gè)漏洞，允許攻擊者執(zhí)行各種攻擊，包括遠(yuǎn)程代碼執(zhí)行和在某些情況下接管帳戶(hù)。此漏洞利用所謂的“影子資源”攻擊媒介，該媒介濫用AWS服務(wù)自動(dòng)生成的資源，通常在用戶(hù)不知情的情況下。

在發(fā)現(xiàn)這些云安全漏洞后，Aqua將其報(bào)告給AWS，AWS在公開(kāi)披露這些漏洞之前對(duì)其進(jìn)行了修復(fù)。盡管如此，這一威脅提醒我們，即使是管理最好的公共云也可能在其核心云服務(wù)中遇到重大的安全漏洞。

3 Snap Trap

在2024年2月，Aqua詳細(xì)介紹了一種稱(chēng)為Snap Trap[9]的云安全威脅，該威脅允許威脅參與者在運(yùn)行Ubuntu Linux的系統(tǒng)上植入惡意軟件包。更具體地說(shuō)，它允許濫用Ubuntu軟件包管理系統(tǒng)中自動(dòng)建議軟件包名稱(chēng)的功能。通過(guò)操縱該功能的工作方式，威脅參與者可能會(huì)誘騙用戶(hù)安裝惡意軟件包而不是合法軟件包。該漏洞也可能被用于在容器內(nèi)植入惡意代碼，因?yàn)榛赨buntu的容器通常使用Ubuntu的包管理工具在運(yùn)行時(shí)安裝軟件。

此缺陷自2016年以來(lái)就已為人所知，但從未得到明確的緩解。防御它的最佳方法是利用一些功能——例如Aqua平臺(tái)提供的功能——來(lái)阻止危險(xiǎn)的功能，例如使用包管理器在容器內(nèi)安裝軟件。

4 Hadooken

Hadooken[10]，Aqua研究人員在夏末發(fā)現(xiàn)的惡意軟件，目標(biāo)是Oracle WebLogic，這是一種廣泛使用的Java EE應(yīng)用服務(wù)器。利用此漏洞需要濫用弱憑據(jù)或易受攻擊的管理員控制臺(tái)來(lái)訪問(wèn)WebLogic系統(tǒng)。一旦進(jìn)入內(nèi)部，攻擊者就可以通過(guò)運(yùn)行任意代碼或橫向移動(dòng)來(lái)破壞其他系統(tǒng)，從而升級(jí)入侵。Hadooken是一個(gè)典型的例子，說(shuō)明了為什么漏洞掃描仍然至關(guān)重要，即使對(duì)于依賴(lài)Oracle等可靠供應(yīng)商平臺(tái)的組織也是如此。

5 GitHub代碼庫(kù)密鑰泄露

作為一個(gè)由人為風(fēng)險(xiǎn)行為而非技術(shù)缺陷造成的云安全威脅的例子，2024年5月，Azure和Red Hat平臺(tái)的訪問(wèn)憑據(jù)已被通過(guò)GitHub代碼庫(kù)泄露[11]。泄露發(fā)生是因?yàn)檫@些科技公司的員工為個(gè)人項(xiàng)目創(chuàng)建了GitHub代碼庫(kù)，并在其中意外存儲(chǔ)了訪問(wèn)憑據(jù)。

這一威脅提醒我們，教育用戶(hù)了解安全最佳實(shí)踐以及掃描GitHub代碼庫(kù)等資源以查找管理不當(dāng)?shù)拿荑€[12]非常重要。

6 CUPS漏洞

CUPS，一個(gè)開(kāi)源打印服務(wù)器，看起來(lái)可能足夠不起眼。但正如安全研究人員在2024年9月報(bào)道的那樣，運(yùn)行CUPS的Linux系統(tǒng)容易受到攻擊[13]，允許遠(yuǎn)程威脅參與者執(zhí)行任意代碼。由于攻擊相對(duì)容易實(shí)施且影響非常流行的軟件服務(wù)，因此它被認(rèn)為是一個(gè)嚴(yán)重的漏洞。

為了阻止此漏洞，管理員可以從受影響的系統(tǒng)中刪除CUPS軟件或阻止網(wǎng)絡(luò)訪問(wèn)CUPS。為了大規(guī)模緩解威脅，可以考慮使用Aqua強(qiáng)制執(zhí)行運(yùn)行時(shí)策略，以防止CUPS服務(wù)在所有系統(tǒng)上運(yùn)行。

7 Lucifer

正如我們?cè)?024年2月報(bào)道的那樣，Lucifer是一個(gè)針對(duì)Apache Hadoop和Apache Druid（流行的開(kāi)源“大數(shù)據(jù)”軟件）的惡意軟件活動(dòng)。最初，攻擊者的目標(biāo)似乎是嘗試防御規(guī)避[14]技術(shù)，但Lucifer可能導(dǎo)致更嚴(yán)重的威脅，包括遠(yuǎn)程代碼執(zhí)行。

使用Aqua緩解云安全威脅和漏洞

作為一個(gè)全面的云和容器安全平臺(tái)，Aqua使組織能夠檢測(cè)和緩解各種類(lèi)型的云安全威脅——從perfctl等操作系統(tǒng)漏洞，到Bucket Monopoly等不安全的云服務(wù)，再到GitHub密鑰泄露事件等不安全的密鑰管理，以及更廣泛的威脅。

引用鏈接

[1] Top Cloud Native Threats and Vulnerabilities of 2024:https://www.aquasec.com/blog/top-cloud-native-threats-and-vulnerabilities/

[2]容器鏡像中的不安全代碼:https://www.aquasec.com/cloud-native-academy/application-security/container-scanning/

[3]身份和訪問(wèn)管理:https://www.aquasec.com/cloud-native-academy/application-security/identity-and-access-management/

[4]在2024年10月報(bào)道的那樣:https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

[5]加密劫持攻擊:https://www.aquasec.com/cloud-native-academy/cloud-attacks/cryptojacking/

[6]CVE-2021-4034:https://nvd.nist.gov/vuln/detail/cve-2021-4034

[7]網(wǎng)絡(luò)分段:https://www.aquasec.com/cloud-native-academy/container-security/network-segmentation/

[8]Bucket Monopoly:https://www.aquasec.com/blog/bucket-monopoly-breaching-aws-accounts-through-shadow-resources/

[9]Snap Trap:https://www.aquasec.com/blog/snap-trap-the-hidden-dangers-within-ubuntus-package-suggestion-system/

[10]Hadooken:https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/

[11]通過(guò)GitHub代碼庫(kù)泄露:https://www.aquasec.com/blog/github-repos-expose-azure-and-red-hat-secrets/

[12]管理不當(dāng)?shù)拿荑€:https://www.aquasec.com/cloud-native-academy/supply-chain-security/secrets-management/

[13]容易受到攻擊:https://www.aquasec.com/blog/cups-a-critical-9-9-linux-vulnerability-reviewed/

[14]防御規(guī)避:https://www.aquasec.com/cloud-native-academy/cloud-attacks/defense-evasion/