论互联网基础设施的脆弱性与S3存储桶的供应链危机

admin 2025年2月5日23:25:20评论3 views字数 1581阅读5分16秒阅读模式
论互联网基础设施的脆弱性与S3存储桶的供应链危机

各位看官,我们又双叒叕搞出大新闻了。继前几次成功渗透政府、军队、航天机构、网络安全公司等核心网络之后,这次我们把目光投向了互联网基础设施的另一个致命弱点——被遗弃的亚马逊S3存储桶。

"就不能老老实实做点低质量的梗图吗?"——我们仿佛听到了诸位的哀嚎。但木已成舟,不如让我们直面这个令人不安的现实。

前情回顾:被遗忘的互联网角落

我们此前的研究已多次揭示被遗弃基础设施的安全隐患:

  • 通过接管WHOIS服务器域名,获得任意.mobi域名的TLS/SSL证书签发权
  • 利用后门程序中的漏洞,渗透政府网络
论互联网基础设施的脆弱性与S3存储桶的供应链危机

但显然,这些案例还不足以让世人清醒认识到:互联网这座大厦,实则是用牙签和胶水勉强支撑的危房。网络安全行业沉迷于防御"黑客帝国级"的虚构威胁时,现实中一个拿着塑料叉子的熊孩子就足以让全球数字文明陷入瘫痪。

致命实验:接管150个废弃S3存储桶

2024年11月,我们启动了一项足以改写网络安全史的研究——通过接管被遗弃的亚马逊S3存储桶,模拟大规模供应链攻击。最终结果令我们自己都脊背发凉:

  • 8百万次HTTP请求涌入我们注册的存储桶
  • 请求内容涵盖:软件更新包、未签名二进制文件、虚拟机镜像、SSL VPN配置等
  • 攻击面覆盖:政府机构(包括NASA)、军队、金融机构、网络安全公司等要害部门
论互联网基础设施的脆弱性与S3存储桶的供应链危机

(12月发现CloudWatch的"运行查询"按钮后,我们差点因频繁查询花掉8美元)

攻击启示录:那些年我们错付的信任

JavaScript投毒:加密货币矿工的狂欢

某开源项目的main.js文件竟从已废弃的存储桶加载,使我们得以在2000多个网站植入任意代码。想象一下,若返回的是加密货币挖矿脚本...

论互联网基础设施的脆弱性与S3存储桶的供应链危机

CISA的安全补丁:官方认证的后门

美国网络安全局(CISA)2012年发布的工控安全公告,竟链接到已废弃的存储桶中的可执行文件。若被恶意替换,后果不堪设想。

论互联网基础设施的脆弱性与S3存储桶的供应链危机

杀毒软件的自毁程序

某顶级杀毒厂商的Linux代理程序仍从废弃存储桶获取更新。虽然apt/yum有签名验证,但这暴露了安全公司自身的基础设施管理混乱。

论互联网基础设施的脆弱性与S3存储桶的供应链危机

云端自杀式部署

多家VPN厂商的云部署模板存放在废弃存储桶中。攻击者可借此在受害者的AWS环境创建管理员账户,部署勒索软件。

论互联网基础设施的脆弱性与S3存储桶的供应链危机

虚拟机镜像的信任危机

使用Vagrant工具自动构建的虚拟机镜像来源竟是被遗弃的存储桶。一旦镜像被篡改,所有衍生系统都将沦陷。

论互联网基础设施的脆弱性与S3存储桶的供应链危机

软件更新的致命诱惑

Sparkle框架的自动更新机制缺乏XML签名验证,攻击者可通过篡改更新说明诱导用户安装恶意程序。某社交软件的更新请求甚至来自.mil军事网络。

论互联网基础设施的脆弱性与S3存储桶的供应链危机

时间胶囊:被遗忘的十年之殇

最令人不安的发现来自Mozilla游戏部门废弃的存储桶。该存储桶自2015年就被移出文档,但九年后仍有系统在请求其中的编译器工具链。这种"数字考古"式的漏洞,暴露了互联网记忆的可怕惯性。

论互联网基础设施的脆弱性与S3存储桶的供应链危机

亡羊补牢:AWS的紧急救援

在意识到事态严重性后,我们与AWS合作将这些存储桶"沉洞",切断了攻击链。但更深刻的教训是:互联网基础设施的"即用即弃"思维,正在制造无数定时炸弹。

结论

网络安全行业沉迷于构建复杂的"供应链安全"方案时,却连最基本的"不要吃陌生人给的糖"都做不到。本次研究揭示的,正是这种集体性认知失调的恶果。

我们郑重承诺:这将是watchTowr最后一次公开讨论被遗弃基础设施问题——毕竟,再这样研究下去,我们可能要对整个互联网失去信心了。

下期预告:当人工智能遇上物联网——智能咖啡机如何成为APT攻击跳板?(开个玩笑,但谁知道呢?)

为了便于理解,内容有删减,原文见链接:

https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/

原文始发于微信公众号(独眼情报):论互联网基础设施的脆弱性与S3存储桶的供应链危机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月5日23:25:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   论互联网基础设施的脆弱性与S3存储桶的供应链危机https://cn-sec.com/archives/3700795.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息