開(kāi)發(fā)者經(jīng)常無(wú)意中在網(wǎng)上暴露AWS訪問(wèn)密鑰，這已不是秘密，這些密鑰在組織有機(jī)會(huì)撤銷它們之前，就被攻擊者抓取并濫用。Clutch Security的研究人員進(jìn)行了一項(xiàng)測(cè)試，以查看這種情況發(fā)生的速度有多快。

他們將AWS訪問(wèn)密鑰（在不同場(chǎng)景下）散布在：

代碼托管和版本控制平臺(tái)：

• GitHub和GitLab 公共代碼倉(cāng)庫(kù)：Docker Hub（用于容器）、npm（用于JavaScript包）、PyPI（用于Python軟件）、Crates.io（用于Rust crates）
• 托管和測(cè)試代碼片段的倉(cāng)庫(kù)：JSFiddle、Pastebin以及公共和私有GitHub Gists
• 開(kāi)發(fā)者論壇：Stack Overflow、Quora、Postman社區(qū)和Reddit 。

這項(xiàng)測(cè)試的結(jié)果顯示，攻擊者傾向于在幾分鐘內(nèi)發(fā)現(xiàn)并利用在GitHub和DockerHub上泄露的AWS訪問(wèn)密鑰，而在PyPI、Pastebin和Postman社區(qū)上暴露的密鑰則在幾小時(shí)內(nèi)被利用。

在GitLab、Crates.io、公共GitHub Gists、JSFiddle、Stack Overflow、Reddit和Quora上發(fā)布的AWS秘密在1到5天內(nèi)被利用。只有在npm和私有GitHub Gists上泄露的密鑰未被使用。

如何自動(dòng)撤銷暴露的AWS密鑰 研究人員發(fā)現(xiàn)，攻擊者通常足夠快，能夠在AWS（如果客戶使用AWS的安全中心和信任顧問(wèn)服務(wù)）發(fā)送的關(guān)于暴露密鑰的警報(bào)之前行動(dòng)。

盡管AWS將暴露的密鑰自動(dòng)放入“隔離區(qū)”，但這并不足以阻止所有濫用：它只是限制了攻擊者創(chuàng)建一些AWS資源的能力。研究人員泄露的AWS訪問(wèn)密鑰允許攻擊者登錄到公司的沙盒云環(huán)境，進(jìn)行偵察，提升權(quán)限和進(jìn)行橫向移動(dòng)，甚至試圖利用公司的基礎(chǔ)設(shè)施進(jìn)行資源密集型操作。

Clutch Security 公司對(duì)此表示，“這不是機(jī)會(huì)主義；而是自動(dòng)化和意圖。我們觀察到的行動(dòng)描繪了一幅有方法、高度組織的操作流程。”

正如Clutch研究人員所看到的，當(dāng)前泄露的AWS密鑰的問(wèn)題在于，這些密鑰的撤銷留給了客戶，而大多數(shù)客戶未能迅速行動(dòng)。“現(xiàn)實(shí)很清楚：暴露和輪換之間的時(shí)間窗口足以讓攻擊者造成重大損害。”

AWS密鑰泄露事件愈演愈烈

就目前來(lái)看，AWS密鑰泄露呈現(xiàn)出愈演愈烈的趨勢(shì)。

AWS密鑰泄漏已在一些主要應(yīng)用程序中被發(fā)現(xiàn)，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在線購(gòu)物服務(wù)Club Factory和Wholee。這些結(jié)果是對(duì)提交給CloudSEK的移動(dòng)應(yīng)用安全搜索引擎BeVigil的1萬(wàn)多個(gè)應(yīng)用程序進(jìn)行分析后得出的。

總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應(yīng)用程序中，公開(kāi)的AWS密鑰可以訪問(wèn)多個(gè)AWS服務(wù)，包括S3存儲(chǔ)服務(wù)的憑據(jù)，這反過(guò)來(lái)又可以訪問(wèn)88個(gè)存儲(chǔ)桶，其中包含10073444個(gè)文件和數(shù)據(jù)，總計(jì)5.5 tb。存儲(chǔ)桶中還包括源代碼、應(yīng)用程序備份、用戶報(bào)告、測(cè)試工件、配置和憑據(jù)文件，這些文件可以用來(lái)深入訪問(wèn)應(yīng)用程序的基礎(chǔ)設(shè)施，包括用戶數(shù)據(jù)庫(kù)。

除此之外，近年來(lái)AWS密鑰泄露事件屢屢發(fā)生。據(jù)媒體11月14日?qǐng)?bào)道，自2021年以來(lái)，一個(gè)名為“fabrice”的惡意Python包在PyPI中被發(fā)現(xiàn)，該軟件包竊取了Amazon Web Services憑據(jù)，已被下載超過(guò)37000次。

大量下載是由于fabrice 對(duì)合法的SSH 遠(yuǎn)程服務(wù)器管理包“fabric”進(jìn)行錯(cuò)字造成的，這是一個(gè)非常受歡迎的庫(kù)，下載量超過(guò)2 億次。該 Fabrice 之所以長(zhǎng)期未被檢測(cè)到，是因?yàn)樵?PyPI 上首次提交后就部署了先進(jìn)的掃描工具，而且很少有解決方案進(jìn)行追溯掃描。

值得一提的是，這個(gè)軟件包通過(guò)執(zhí)行特定腳本，在Linux和Windows系統(tǒng)上竊取AWS密鑰，并將其傳遞給VPN服務(wù)器，使得追蹤變得更加困難。

在另外一起假冒LockBit勒索軟件的事件中，攻擊者濫用AWS S3 Transfer Acceleration功能實(shí)施勒索軟件攻擊，將Golang勒索軟件偽裝成LockBit，以迫使受害者支付贖金。已確認(rèn)的AWS訪問(wèn)密鑰和賬戶已被暫停，趨勢(shì)科技檢測(cè)到30多個(gè)嵌入了AWS訪問(wèn)密鑰ID和秘密訪問(wèn)密鑰的樣本。

CloudSEK研究人員表示：在移動(dòng)應(yīng)用程序源代碼中硬編碼的AWS密鑰可能是一個(gè)巨大的漏洞，特別是如果(身份和訪問(wèn)管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大，因?yàn)楣艨梢枣溄樱粽呖梢赃M(jìn)一步訪問(wèn)整個(gè)基礎(chǔ)設(shè)施，甚至代碼庫(kù)和配置。

參考來(lái)源：https://www.helpnetsecurity.com/2024/12/02/revoke-exposed-aws-keys/