遭廢棄的 AWS S3 儲存空間成為駭客攻擊新目標

研究指出，這些被遺棄的雲端儲存空間是一個長期被忽視的重大資安威脅。惡意攻擊者一旦發現並重新註冊這些儲存空間，就能利用其原始名稱散布惡意程式，或對仍在存取這些儲存空間的使用者發動攻擊。

實際攻擊案例與研究發現

資安公司 watchTowr 最近的研究顯示，這個威脅不僅存在於理論層面，更是一個極易被利用的資安漏洞。這項研究延續了他們去年對過期和被遺棄網域名稱的資安風險研究。

研究人員首先搜尋網路上用於部署程式碼和軟體更新的 Amazon AWS S3 儲存貯體，接著檢查這些機制是否正在下載未經簽署或驗證的可執行檔與程式碼。結果發現約 150 個被遺棄的 S3 儲存貯體，這些貯體原先屬於政府組織、財星 500 大企業、科技公司、資安廠商及重要開源專案，主要用於軟體部署、更新與組態設定。

為了驗證潛在風險，watchTowr 投入約 400 美元重新註冊這些閒置的儲存貯體，並啟用日誌記錄以監控存取狀況。結果令人震驚：僅僅兩個月內，這些 S3 儲存貯體就接收到 800 萬次檔案請求。

這些檔案請求來自各類重要機構，包括美國、英國、澳洲等國家的政府機構、財星百大企業、主要支付卡網路、工業產品公司、全球性和區域性銀行，以及資安公司。

研究人員在報告中強調，他們搶註這些 S3 儲存貯體時並未使用任何「進階」技術，僅需在輸入框中輸入名稱並點擊註冊按鈕即可。

這些 S3 儲存貯體接收到各種檔案請求，包括軟體更新、未簽署的 Windows、Linux 和 macOS 執行檔、虛擬機映像檔、JavaScript 檔案、SSL VPN 組態設定，以及用於定義和佈建 AWS 雲端基礎設施的 CloudFormation 範本。若研究人員懷有惡意意圖，他們能輕易回應這些請求，並透過提供惡意軟體更新、可存取目標組織 AWS 環境的範本，或是植入後門的虛擬機等手法來發動攻擊。

雲端儲存空間的致命資安缺口

watchTowr 執行長 Benjamin Harris 指出，研究最關鍵的發現是：駭客只需透過濫用這類被遺棄的基礎設施漏洞，就能以驚人簡單的方式發動類似 SolarWinds 規模的供應鏈攻擊。

儘管這項研究聚焦於 AWS S3 儲存貯體，但所有可被重新註冊的廢棄雲端儲存資源都存在相同風險。這不僅是 AWS 獨有的問題，更重要的是，AWS 用戶必須認知到：一旦程式碼中引用了雲端資源（無論是在軟體更新程序或部署手冊中），這個引用就會持續存在。

watchTowr 已多次要求 AWS 禁止註冊曾被使用過的 S3 儲存貯體名稱，並一再向 AWS 團隊強調，最理想的解決方案是禁止重複使用舊有的儲存貯體名稱，如此便能徹底解決這個廢棄基礎設施的漏洞問題。這雖然會影響使用便利性，也會限制不同帳戶間轉移儲存貯體的彈性，但我們不禁要問，這些便利性是否真的比我們發現的資安風險更重要。

AWS 對被遺棄 S3 儲存貯體威脅的回應

AWS 迅速封鎖了 watchTowr 發現的所有 S3 儲存貯體。儘管這項措施阻止了報告中提到的攻擊情境在這些特定資源上發生，但根本問題仍未解決。

AWS 發言人解釋，問題源自客戶刪除了仍被第三方應用程式引用的 S3 儲存貯體。由於 watchTowr 未事先通知 AWS 就進行研究，且事後才提供儲存貯體名單，AWS 已採取行動阻止這些特定儲存貯體被重新建立，以確保客戶安全。

該發言人進一步說明，AWS 已為客戶提供雲端儲存貯體的最佳實務指引，建議在建立儲存貯體時使用獨特識別碼以防誤用。該公司也提供指引，協助確保應用程式正確引用客戶所擁有的儲存貯體。聲明中提到，AWS 在 2020 年推出了儲存貯體所有權條件功能，並鼓勵客戶使用這個專門設計來防止儲存貯體名稱被誤用的機制。

AWS 最後強調，研究人員在進行涉及該公司服務的研究時，應事先與其資安團隊聯繫。

本文轉載自 DarkReading。