BLACK HAT USA 2021 – لاس وگاس – یک جفت محقق که در سال گذشته نقص ها و ضعف های امنیتی در سرویس های ابری را ریشه کن کرده اند ، این هفته مسائل جدیدی را آشکار کردند که به گفته آنها انزوای سرویس های مختلف وب آمازون (AWS) مشتریان مختلف را از بین می برد. حساب ها در ابر
محققان Ami Luttwak و شیر Tamari از راه اندازی امنیت ابر Wiz.io در مورد یافته های خود گفتند که چنین آسیب پذیری های سرویس ابری به احتمال زیاد از AWS نیز گسترده تر است.
معایب حساب های متقابل یک واقعیت تلخ را برای مشتریان ابر نشان می دهد: طبق تحقیقات ، موارد ابر آنها لزوماً از سایر مشتریان ارائه دهنده جدا نیست. تماری در مصاحبه ای گفت: “ما نشان دادیم که امکان دستکاری خدمات در AWS برای دسترسی به سایر خدمات وجود دارد.” محققان نشان دادند که این می تواند به مهاجم اجازه دهد داده ها را در سطل ذخیره سازی S3 مشتری ابر دیگر بخواند یا داده ها را از حساب ابر خود به مشتری دیگر ارسال و ذخیره کند.
اما سه نقص امنیتی که محققان دریافتند – آسیب پذیری در AWS Config ، CloudTrail و AWS Serverless Config که AWS اوایل امسال برطرف کرد – فقط نشان دهنده یک مشکل بزرگتر در زمینه ایمن سازی سرویس های ابری است. لوتواک و تاماری می گویند آخرین یافته های آنها بر نیاز به مخزنی از نوع CVE تأکید می کند که در آن ارائه دهندگان و محققان ابر می توانند اطلاعات آسیب پذیری را به اشتراک بگذارند و آنها قصد دارند ابتکاری در صنعت را دنبال کنند که دقیقاً این کار را انجام دهد.
“ما فکر می کنیم که آسیب پذیری های ابر یک مشکل صنعتی است. چگونه می توانیم مطمئن شویم که همه از” این “vuln اطلاع دارند؟ هر روز ، ما این موارد را پیدا می کنیم [various] لوتواک در جریان ارائه این هفته این زوج در مورد ایرادات متقابل حسابداری که اواخر سال گذشته در AWS پیدا کردند ، به شرکت کنندگان گفت: انواع آسیب پذیری ها “در خدمات ابری.
لوتواک ، که با مفهوم پیشنهادی به Cloud Security Alliance (CSA) مراجعه کرده است ، گفت: “این درباره ما به عنوان یک صنعت و نیاز به اشتراک گذاری این اطلاعات” است. وی توضیح داد که صنعت به پایگاه داده ای نیاز دارد که فهرست ابرهای محرمانه ، “یک سیستم” CVE “برای ابر را نشان دهد.
این یک حسابداری رسمی از ابرهای داغ ارائه می دهد و شامل رتبه بندی شدت آنها و همچنین وضعیت رفع یا وصله آنها است. تماری در مصاحبه ای گفت: “ما باید بتوانیم آسیب پذیری ها را شناسایی کرده و شماره های ردیابی مناسبی داشته باشیم تا مشتریان و فروشندگان بتوانند این مشکلات را ردیابی کنند و برای رفع این آسیب پذیری ها امتیاز شدید داشته باشند.”
لحظه “آه” لوتواک و تاماری که منجر به اقدام آنها برای سیستم متمرکز ردیابی آسیب پذیری در ابر شد ، زمانی رخ داد که دریافتند پنج ماه پس از رفع اشکالات حسابداری متقابل AWS که به شرکت خدمات ابری گزارش کردند ، حدود 90. از سطل های مخزن AWS بدون سرور هنوز پیکربندی نامناسب شده بود. بنابراین ظاهراً مشتریان AWS تنظیم جدید “شرایط محدوده” را در مخزن بدون سرور اعمال نکرده بودند ، که AWS از طریق ایمیل و داشبورد بهداشت شخصی AWS به مشتریان هشدار داده بود.
“اکثر آنها هنوز از پیکربندی شده استفاده می کنند [incorrectly] و با دسترسی کامل “به سطل های ذخیره S3 خود ، لوتواک توضیح داد.
با این حال ، AWS یافته های محققان را متفاوت می بیند. سخنگوی AWS گفت که موارد گزارش شده توسط محققان آسیب پذیری نیستند ، بلکه گزینه های پیکربندی هستند که برخی از مشتریان از آنها استفاده می کنند و برخی دیگر ترجیح می دهند از آنها استفاده نکنند.
بیشتر Vulns on the Horizon
تاماری خاطرنشان کرد که تحقیقات امنیتی ابر هنوز یک رشته نسبتاً جدید است و بسیاری از مسائل ناشناخته هنوز کشف نشده است. “بسیاری از ویژگی های جدید وجود دارد [for cloud services]و ردیابی همه مدل ها و به روز رسانی ها بسیار سخت است. “
“ایده [is] او گفت که بسیاری از خدمات ابری در معرض خطر ارتباط متقابل قرار دارند ، ما می خواهیم که جامعه به جستجوی آنها کمک کند. امیدواریم که به اشتراک گذاری این یافته ها در میان جامعه امنیتی بتواند به افزایش آگاهی سازمان هایی که از خدمات ابری استفاده می کنند و پیکربندی می کنند ، کمک کند. به