论互联网基础设施的脆弱性与S3存储桶的供应链危机

各位看官，我们又双叒叕搞出大新闻了。继前几次成功渗透政府、军队、航天机构、网络安全公司等核心网络之后，这次我们把目光投向了互联网基础设施的另一个致命弱点——被遗弃的亚马逊S3存储桶。

"就不能老老实实做点低质量的梗图吗？"——我们仿佛听到了诸位的哀嚎。但木已成舟，不如让我们直面这个令人不安的现实。

前情回顾：被遗忘的互联网角落

我们此前的研究已多次揭示被遗弃基础设施的安全隐患：

• 通过接管WHOIS服务器域名，获得任意.mobi域名的TLS/SSL证书签发权
• 利用后门程序中的漏洞，渗透政府网络

但显然，这些案例还不足以让世人清醒认识到：互联网这座大厦，实则是用牙签和胶水勉强支撑的危房。网络安全行业沉迷于防御"黑客帝国级"的虚构威胁时，现实中一个拿着塑料叉子的熊孩子就足以让全球数字文明陷入瘫痪。

致命实验：接管150个废弃S3存储桶

2024年11月，我们启动了一项足以改写网络安全史的研究——通过接管被遗弃的亚马逊S3存储桶，模拟大规模供应链攻击。最终结果令我们自己都脊背发凉：

• 8百万次HTTP请求涌入我们注册的存储桶
• 请求内容涵盖：软件更新包、未签名二进制文件、虚拟机镜像、SSL VPN配置等
• 攻击面覆盖：政府机构（包括NASA）、军队、金融机构、网络安全公司等要害部门

（12月发现CloudWatch的"运行查询"按钮后，我们差点因频繁查询花掉8美元）

攻击启示录：那些年我们错付的信任

JavaScript投毒：加密货币矿工的狂欢

某开源项目的main.js文件竟从已废弃的存储桶加载，使我们得以在2000多个网站植入任意代码。想象一下，若返回的是加密货币挖矿脚本...

CISA的安全补丁：官方认证的后门

美国网络安全局（CISA）2012年发布的工控安全公告，竟链接到已废弃的存储桶中的可执行文件。若被恶意替换，后果不堪设想。

杀毒软件的自毁程序

某顶级杀毒厂商的Linux代理程序仍从废弃存储桶获取更新。虽然apt/yum有签名验证，但这暴露了安全公司自身的基础设施管理混乱。

云端自杀式部署

多家VPN厂商的云部署模板存放在废弃存储桶中。攻击者可借此在受害者的AWS环境创建管理员账户，部署勒索软件。

虚拟机镜像的信任危机

使用Vagrant工具自动构建的虚拟机镜像来源竟是被遗弃的存储桶。一旦镜像被篡改，所有衍生系统都将沦陷。

软件更新的致命诱惑

Sparkle框架的自动更新机制缺乏XML签名验证，攻击者可通过篡改更新说明诱导用户安装恶意程序。某社交软件的更新请求甚至来自.mil军事网络。

时间胶囊：被遗忘的十年之殇

最令人不安的发现来自Mozilla游戏部门废弃的存储桶。该存储桶自2015年就被移出文档，但九年后仍有系统在请求其中的编译器工具链。这种"数字考古"式的漏洞，暴露了互联网记忆的可怕惯性。

亡羊补牢：AWS的紧急救援

在意识到事态严重性后，我们与AWS合作将这些存储桶"沉洞"，切断了攻击链。但更深刻的教训是：互联网基础设施的"即用即弃"思维，正在制造无数定时炸弹。

结论

网络安全行业沉迷于构建复杂的"供应链安全"方案时，却连最基本的"不要吃陌生人给的糖"都做不到。本次研究揭示的，正是这种集体性认知失调的恶果。

我们郑重承诺：这将是watchTowr最后一次公开讨论被遗弃基础设施问题——毕竟，再这样研究下去，我们可能要对整个互联网失去信心了。

下期预告：当人工智能遇上物联网——智能咖啡机如何成为APT攻击跳板？（开个玩笑，但谁知道呢？）

为了便于理解，内容有删减，原文见链接：

https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/