各位看官,我们又双叒叕搞出大新闻了。继前几次成功渗透政府、军队、航天机构、网络安全公司等核心网络之后,这次我们把目光投向了互联网基础设施的另一个致命弱点——被遗弃的亚马逊S3存储桶。
"就不能老老实实做点低质量的梗图吗?"——我们仿佛听到了诸位的哀嚎。但木已成舟,不如让我们直面这个令人不安的现实。
前情回顾:被遗忘的互联网角落
我们此前的研究已多次揭示被遗弃基础设施的安全隐患:
-
通过接管WHOIS服务器域名,获得任意.mobi域名的TLS/SSL证书签发权 -
利用后门程序中的漏洞,渗透政府网络
但显然,这些案例还不足以让世人清醒认识到:互联网这座大厦,实则是用牙签和胶水勉强支撑的危房。网络安全行业沉迷于防御"黑客帝国级"的虚构威胁时,现实中一个拿着塑料叉子的熊孩子就足以让全球数字文明陷入瘫痪。
致命实验:接管150个废弃S3存储桶
2024年11月,我们启动了一项足以改写网络安全史的研究——通过接管被遗弃的亚马逊S3存储桶,模拟大规模供应链攻击。最终结果令我们自己都脊背发凉:
-
8百万次HTTP请求涌入我们注册的存储桶 -
请求内容涵盖:软件更新包、未签名二进制文件、虚拟机镜像、SSL VPN配置等 -
攻击面覆盖:政府机构(包括NASA)、军队、金融机构、网络安全公司等要害部门
(12月发现CloudWatch的"运行查询"按钮后,我们差点因频繁查询花掉8美元)
攻击启示录:那些年我们错付的信任
JavaScript投毒:加密货币矿工的狂欢
某开源项目的main.js
文件竟从已废弃的存储桶加载,使我们得以在2000多个网站植入任意代码。想象一下,若返回的是加密货币挖矿脚本...
CISA的安全补丁:官方认证的后门
美国网络安全局(CISA)2012年发布的工控安全公告,竟链接到已废弃的存储桶中的可执行文件。若被恶意替换,后果不堪设想。
杀毒软件的自毁程序
某顶级杀毒厂商的Linux代理程序仍从废弃存储桶获取更新。虽然apt/yum有签名验证,但这暴露了安全公司自身的基础设施管理混乱。
云端自杀式部署
多家VPN厂商的云部署模板存放在废弃存储桶中。攻击者可借此在受害者的AWS环境创建管理员账户,部署勒索软件。
虚拟机镜像的信任危机
使用Vagrant工具自动构建的虚拟机镜像来源竟是被遗弃的存储桶。一旦镜像被篡改,所有衍生系统都将沦陷。
软件更新的致命诱惑
Sparkle框架的自动更新机制缺乏XML签名验证,攻击者可通过篡改更新说明诱导用户安装恶意程序。某社交软件的更新请求甚至来自.mil军事网络。
时间胶囊:被遗忘的十年之殇
最令人不安的发现来自Mozilla游戏部门废弃的存储桶。该存储桶自2015年就被移出文档,但九年后仍有系统在请求其中的编译器工具链。这种"数字考古"式的漏洞,暴露了互联网记忆的可怕惯性。
亡羊补牢:AWS的紧急救援
在意识到事态严重性后,我们与AWS合作将这些存储桶"沉洞",切断了攻击链。但更深刻的教训是:互联网基础设施的"即用即弃"思维,正在制造无数定时炸弹。
结论
网络安全行业沉迷于构建复杂的"供应链安全"方案时,却连最基本的"不要吃陌生人给的糖"都做不到。本次研究揭示的,正是这种集体性认知失调的恶果。
我们郑重承诺:这将是watchTowr最后一次公开讨论被遗弃基础设施问题——毕竟,再这样研究下去,我们可能要对整个互联网失去信心了。
下期预告:当人工智能遇上物联网——智能咖啡机如何成为APT攻击跳板?(开个玩笑,但谁知道呢?)
为了便于理解,内容有删减,原文见链接:
https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/
原文始发于微信公众号(独眼情报):论互联网基础设施的脆弱性与S3存储桶的供应链危机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论