UpGuard 網(wǎng)絡(luò)風(fēng)險(xiǎn)小組近日發(fā)現(xiàn)了重大的數(shù)據(jù)泄露事件,涉及在亞馬遜AWS云上運(yùn)行的 GoDaddy 基礎(chǔ)設(shè)施。
GoDaddy 是“全球最大的域名注冊機(jī)構(gòu)”,是最大的 SSL 證書提供商之一,截至2018年是市場份額最大的網(wǎng)絡(luò)主機(jī)服務(wù)商。GoDaddy 擁有1750萬客戶和7600萬個(gè)域名,是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一個(gè)重要組成部分,它所使用的云是目前規(guī)模最大的一個(gè)。
泄露了哪些數(shù)據(jù)?
泄露的這些文件放在公眾可訪問的亞馬遜S3存儲(chǔ)桶中,泄露的文件包括成千上萬個(gè)系統(tǒng)的基本配置信息以及在亞馬遜AWS上運(yùn)行的系統(tǒng)的定價(jià)選項(xiàng),包括不同情況下給予的折扣。泄露的配置信息包括主機(jī)名、操作系統(tǒng)、“工作負(fù)載”(系統(tǒng)干什么用的)、AWS 區(qū)域、內(nèi)存和 CPU 規(guī)格等更多信息。
實(shí)際上,這些數(shù)據(jù)直接泄露了一個(gè)規(guī)模巨大的 AWS 云基礎(chǔ)設(shè)施部署環(huán)境,各個(gè)系統(tǒng)有41個(gè)列以及匯總和建模數(shù)據(jù),分成總計(jì)、平均值及其他計(jì)算字段。似乎包括 GoDaddy 從亞馬遜 AWS 獲得的折扣,通常,這對雙方來說屬于保密信息。
發(fā)現(xiàn)泄露時(shí),GoDaddy的 CSTAR 風(fēng)險(xiǎn)評(píng)分是752分(滿分950分),亞馬遜的評(píng)分是793分。UpGuard 網(wǎng)絡(luò)風(fēng)險(xiǎn)小組通知了 GoDaddy,對方已堵住了泄露,防止將來有人惡意使用泄露的數(shù)據(jù)。
數(shù)據(jù)泄露事件發(fā)生時(shí)間
2018年6月19日,UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)小組某分析師發(fā)現(xiàn)了一個(gè)名為abbottgodaddy的公眾可讀取的亞馬遜S3存儲(chǔ)桶。內(nèi)部是一份電子表格的數(shù)個(gè)版本,這個(gè)17MB大小的微軟Excel文件含有多個(gè)工作表和成千上萬行。UpGuard在確定數(shù)據(jù)的性質(zhì)后于2018年6月20日通知GoDaddy。GoDaddy在7月26日才通過電子郵件予以回復(fù),UpGuard 的研究團(tuán)隊(duì)證實(shí)漏洞在當(dāng)天已堵住。
這次「銷售」背鍋
默認(rèn)情況下,亞馬遜的S3存儲(chǔ)桶是私密的,只有指定用戶才能訪問。但由于理解有誤或配置有誤,這些權(quán)限有時(shí)會(huì)被更改、允許公眾訪問,即訪問存儲(chǔ)桶URL的任何人都可以匿名查看未明確保護(hù)起來的任何內(nèi)容,無需輸入密碼。S3權(quán)限如何配置不當(dāng),因此必須極其小心:
所有用戶(每個(gè)人)-公共匿名訪問。任何有用戶名的人都可以打開存儲(chǔ)桶。
身份已驗(yàn)證的用戶(所有AWS用戶)-擁有(免費(fèi))AWS帳戶的任何人都可以訪問該存儲(chǔ)桶。這種泄露應(yīng)仍被視為公開泄露,因?yàn)楂@取AWS帳戶輕而易舉。
無論是為企業(yè)部署數(shù)十個(gè)存儲(chǔ)桶還是建立個(gè)人云存儲(chǔ),了解這些公共權(quán)限如何工作以及如何在任何特定的時(shí)間為你的資源設(shè)置它們,對于防止通過這條途徑泄露數(shù)據(jù)而言至關(guān)重要。
配置錯(cuò)誤的 AWS 云存儲(chǔ)實(shí)例引起的數(shù)據(jù)泄露已變得非常普遍,多得數(shù)不勝數(shù),而這次的情況大不一樣,AWS 銷售人員的錯(cuò)誤泄露了 GoDaddy 公司的機(jī)密信息。
據(jù)亞馬遜聲明,該存儲(chǔ)桶是“由 AWS 的銷售人員創(chuàng)建的”。雖然亞馬遜S3默認(rèn)情況下是安全的,存儲(chǔ)桶訪問在默認(rèn)配置下完全受到保護(hù),但那位銷售人員在這一個(gè)存儲(chǔ)桶方面并沒有遵循AWS最佳實(shí)踐。
每個(gè)工作表都含有用于建模和分析在亞馬遜云上運(yùn)行的大規(guī)?;A(chǔ)設(shè)施的一些數(shù)據(jù)。最大的工作表名為“GDDY Machine Raw Data”,列出了24000多個(gè)獨(dú)特主機(jī)名的41個(gè)數(shù)據(jù)點(diǎn),包括給機(jī)器定位的信息,比如主機(jī)名、地理單位、業(yè)務(wù)部門、工作負(fù)載和數(shù)據(jù)中心,以及描述機(jī)器配置的信息。除了有獨(dú)特主機(jī)名的數(shù)千行外,少數(shù)的其他行似乎為多個(gè)機(jī)器概述了同樣的那些數(shù)據(jù)點(diǎn)。
數(shù)據(jù)泄露影響范圍
有兩條主要途徑可以利用這些數(shù)據(jù):使用GoDaddy服務(wù)器的配置數(shù)據(jù)作為“map”,因此不法分子可以基于其角色、可能的數(shù)據(jù)、大小和區(qū)域來選擇目標(biāo),使用業(yè)務(wù)數(shù)據(jù)作為云托管策略和定價(jià)方面的競爭優(yōu)勢。
系統(tǒng)配置數(shù)據(jù)為潛在的攻擊者提供了GoDaddy運(yùn)作方面的信息。類似的“casing”信息常常通過社會(huì)工程學(xué)伎倆和互聯(lián)網(wǎng)研究來獲取,從而使其他攻擊盡可能行之有效,每個(gè)數(shù)據(jù)點(diǎn)都有助于實(shí)現(xiàn)這個(gè)目標(biāo)?!皐orkload”這一列尤其有助于將攻擊者引往正確的方向,顯示了哪些系統(tǒng)提供更重要的功能、可能含有重要數(shù)據(jù)。
雖然并不直接提供登錄信息或泄露存儲(chǔ)在這些服務(wù)器上的敏感信息,但數(shù)字基礎(chǔ)設(shè)施的配置信息一旦泄露,就會(huì)為訪問這類信息的攻擊提供一塊跳板。
打破競爭優(yōu)勢
并非只有黑客在伺機(jī)尋找這種信息。競爭對手、供應(yīng)商、云提供商及其他人都有興趣想知道世界上最大的域名主機(jī)服務(wù)商在如何處理云支出。從亞馬遜AWS 和 GoDaddy 的規(guī)模來看,通過談判降低或提高一兩個(gè)百分點(diǎn)至關(guān)重要,因?yàn)檫@可能意味著每年相差數(shù)百萬美元。
了解 GoDaddy 的 AWS 折扣的細(xì)節(jié)可能會(huì)讓其他公司獲得談判優(yōu)勢,并且了解原本保密的價(jià)位。此外,GoDaddy分配云支出的方式也具有戰(zhàn)略意義:多少計(jì)算、多少存儲(chǔ)、在幾個(gè)區(qū)域之間劃分、在幾個(gè)環(huán)境下, 這可謂是指導(dǎo)運(yùn)行最大規(guī)模的云基礎(chǔ)設(shè)施的藍(lán)圖。
潛在嚴(yán)重影響
雖然這種結(jié)構(gòu)數(shù)據(jù)對任何公司來說都很重要,但對于像 GoDaddy 這樣規(guī)模的公司來說尤為重要。有人可能會(huì)說,GoDaddy 擁有互聯(lián)網(wǎng)的五分之一。亞馬遜 AWS 是其領(lǐng)域的領(lǐng)導(dǎo)者,占據(jù)基礎(chǔ)設(shè)施即服務(wù)市場約40%的份額。
雖然泄露的信息本身并不能為針對其系統(tǒng)的籌劃攻擊提供便利,但這種攻擊可能擾亂全球互聯(lián)網(wǎng)流量。如果說 DYN DNS 攻擊表明了什么,那就是大規(guī)模的互聯(lián)網(wǎng)攻擊不僅有可能,而且極其有效,因?yàn)槟承┙M織實(shí)際上已成為整個(gè)系統(tǒng)的嚴(yán)重故障點(diǎn)。
-
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11015瀏覽量
102085 -
亞馬遜
+關(guān)注
關(guān)注
8文章
2602瀏覽量
82852
原文標(biāo)題:AWS 配置錯(cuò)誤致 GoDaddy 數(shù)據(jù)泄漏 !或破壞競爭優(yōu)勢
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評(píng)論請先 登錄
相關(guān)推薦
評(píng)論