微軟公司如何應對在Azure中發現的六個“噩夢”般的雲安全漏洞?

語言: CN / TW / HK

許多安全研究人員一致認為,跨租戶漏洞是一種客戶需要注意的新型風險,這種風險不應該發生在雲中。

在過去的一年裡,Azure發現了最多的安全漏洞,也是最嚴重的漏洞。有史以來最大的黑客攻擊事件之一發生在去年夏天,幾乎沒有人注意到。

2021年8月,黑客侵入了微軟Azure公有云平臺上廣泛使用的資料庫服務。他們聲稱可以訪問數千個客戶環境或租戶中的資料庫,其中包括一些財富500強公司的資料庫。這是可能的,因為雲端計算服務在共享基礎設施上執行——事實證明,這可以發現一些雲端計算提供商認為已經解決的共享風險。

如果人們沒有聽說去年夏天的這起事件,那可能是因為入侵微軟Cosmos DB服務的黑客並不是網路罪犯。他們是雲安全初創廠商Wiz公司的研究人員。研究人員給該漏洞起了一個令人難忘的名字“ChaosDB”,並將其報告給了微軟。“跨租戶”問題在任何實際攻擊者攻擊之前就已修復,其危機得以化解。

但這一驚人的發現讓Wiz公司和其他幾家供應商的研究人員很想知道這種新型跨租戶漏洞到底有多普遍。這導致一個月後在Azure服務中發現了另一個可怕的漏洞,然後又出現第三個漏洞。然後又發現另外三個漏洞——而在幾個月內在Azure發現六個關鍵漏洞。

包括ChaosDB漏洞在內,其中五個關鍵漏洞表明有可能破壞大量不同的雲端計算環境或租戶。Wiz公司研究主管Shir Tamari表示,像ChaosDB這樣的跨租戶漏洞是“在雲服務提供商中可能發現的最嚴重的漏洞。”

Tamari指出,Wiz公司的研究團隊並沒有尋找這種型別的漏洞,只是偶然發現了ChaosDB。他說,這一發現向研究人員揭示了這種問題甚至在公有云中也有可能發生。

安全研究人員還將繼續發現AWS中的兩個關鍵漏洞。但研究人員表示,在過去一年中,大部分最嚴重的漏洞都是在Azure中發現的。對於一些安全研究人員和行業分析師來說,這一系列問題引發了對微軟公司保護其Azure服務的方法的質疑。

獨立安全研究機構Securosis公司執行長兼長期安全行業分析師Rich Mogull說,“這很令人擔憂。這是一種模式。所以問題是:我們是否相信這是因為他們受到了更嚴格的審查?還是他們有更多的問題?可能兩者兼而有之。”

Orca公司首席技術官Yoav Alon表示,雲安全服務商Orca Security公司的研究人員在Azure服務中發現了兩個跨租戶漏洞,這些問題強烈表明Azure公司無法承受研究人員施加的與AWS和GoogleCloud相同程度的壓力。

Alon說,“我認為目前在雲端計算領域與其他供應商相比,他們可能在安全性方面有些落後。”

微軟公司並沒有對行業媒體的報道發表評論。

該公司在一份宣告中表示,“安全性是Azure的基礎。客戶信任微軟公司跨物理資料中心、基礎設施和運營提供的多層安全性,網路安全專家積極監控以保護企業的資料。我們通過與研究人員的漏洞賞金不斷地在內部和外部參與發現並修復安全問題,我們積極分享更新和指導。”

其他研究人員和分析師表示,他們不認為這些發現表明微軟公司在保護其Azure服務的方法上與AWS或谷歌雲相比存在任何弱點。

獨立資訊保安顧問Kevin Beaver表示,事實上,雲端計算基礎設施非常複雜,這樣的安全問題是不可避免的。Beaver 說,“我不認為這有什麼可怕的。”

一種新的漏洞

然而,許多安全專家都認為,這些問題指向一種新型漏洞,客戶在很大程度上沒有考慮到他們對雲端計算風險的理解。畢竟,在發現這些風險之前,即使是安全研究人員也不認為雲平臺中的租戶隔離存在問題。

漏洞賞金平臺Bugcrowd 公司創始人兼首席技術官Casey Ellis說,“我認為可以肯定的是,當他們使用雲端計算提供商的雲端計算服務時,很多人會認為這一切都已經解決,如果發現不是,可能會有點驚訝。它確實違反了人們對雲安全的基本假設。如果這個假設在起作用,那麼可能需要重新解決這個假設。”

IDC公司安全與信任專案副總裁Frank Dickson表示,他認為公有云提供商根本上來說非常安全,遠比內部部署資料中心環境更安全。

Dickson說,“這是否說明了一類新的漏洞?確實如此。”

與一兩年前相比,新冠疫情使企業加速向雲端計算的遷移,也使得更多的客戶現在嚴重依賴AWS、Azure和谷歌雲。安全專家指出,這放大了被利用的跨租戶漏洞的潛在影響。

美國情報機構前滲透測試人員、現為網路安全服務商Deepwatch公司創始人兼副總裁Patrick Orzechowski說,“很多人對AWS、微軟或谷歌十分信任,並認為他們可以確保基礎設施中沒有重大漏洞。”

根據研究機構Synergy Research集團釋出的調查報告,今年第一季度,全球雲端計算基礎設施服務支出飆升至近530億美元,同比增長34%。Azure

雲平臺在本季度佔據了22%的市場份額,落後於亞馬遜33%的市場份額,但仍遠遠領先於谷歌雲10%的市場份額。

攻擊雲平臺

2019年年中,針對CapitalOne公司的AWS雲環境的網路攻擊洩露了1.06億客戶的資料。這家美國最大的銀行之一的違規事件為雲安全領域敲響了警鐘,顯示了當網路攻擊者以公有云為目標時可能發生的情況。

但儘管情況很糟糕,這次違規隻影響了一家公司。由於雲端計算的架構,每家企業的資料都與其他公司保持隔離和不可見。破壞某個客戶環境的網路攻擊者無法訪問其餘客戶的環境。

客戶通常很信任AWS、微軟或谷歌這些雲端計算供應商。

或者至少認為他們不應該這樣做。自從去年8月以來發現的一系列公有云漏洞表明,可能會發生前所未有的大規模攻擊:研究人員表示,如果此類攻擊獲得成功,其帶來的嚴重程度可能是CapitalOne公司洩漏事件的100或1000倍。

一些網路安全專家表示,值得慶幸的是,到目前為止還沒有看到這種情況發生。但這也意味著這個問題也沒有得到足夠的關注,即使是在安全社群。

Alon說,“如果發生災難性的事情,它將得到更多的關注,我們正在努力防止這種災難性的情況發生。”

可以對軟體供應鏈攻擊進行類比,這些攻擊基於類似的理由令人恐懼:破壞單個應用程式可能會導致許多最終客戶遭受損失或影響,例如2020年的SolarWinds網路攻擊。公有云尚未出現SolarWinds這樣的攻擊,但研究人員的表示,如果網路攻擊者首先發現了其中一個最近的漏洞,那麼情況可能會有所不同。

令人關注的“關鍵”問題

雲安全專家Scott Piper表示,在2021年8月至2022年1月期間,安全研究人員在主要雲服務平臺上共發現了8個 “嚴重”的漏洞,他在GitHub上編制了一份冗長的問題清單。Piper的統計表明,自從去年夏天以來,Azure雲平臺已經發現了六個關鍵漏洞,相比之下,亞馬遜的雲平臺上有兩個關鍵漏洞,谷歌雲平臺上沒有關鍵漏洞。

由於公有云漏洞通常被排除在常見漏洞和暴露系統之外,因此這些問題中的大多數都沒有被官方授予嚴重性評級。Piper根據自己的評估,將嚴重性評級歸因於迄今為止已披露的53個公有云問題,從“低”到“嚴重”不等。Wiz公司指出Piper的工作是這些公有云問題的權威文件。

除了研究人員和供應商本身之外,Piper可能和任何人一樣熟悉最近一連串的公有云漏洞。對他來說,最引人注目的是研究人員已經反覆證明了在Azure服務上實現跨租戶訪問的能力。

相比之下,由於這兩個最近發現的影響AWS的嚴重漏洞。Piper說,“如果他們深入挖掘,似乎能夠獲得跨租戶訪問,但通過Azure,他們實際上證明了這一點。”

在ChaosDB之後,下一個要發現的嚴重Azure漏洞是Azure容器即服務平臺上的跨賬戶接管漏洞。它是由Palo Alto Networks公司的Unit42小組的研究人員發現的,並被稱為“Azurescape”。

Palo Alto Networks公司首席安全研究員Yuval Avrahami在去年9月發表的一篇部落格文章中寫道:“跨賬戶漏洞通常被描述為公有云的‘噩夢’場景。Azurescape證明它們比我們想象的更真實。”

從那以後,這方面的證據不斷積累。在接下來的幾個月中,在Azurescape錯誤出現之後,又出現了Azure服務中的三個額外的跨租戶漏洞。Orca

Security公司研究人員發現了影響Azure自動化服務的“AutoWarp”和影響AzureSynapse分析服務的“SynLapse”。Wiz公司研究人員表示,它影響了PostgreSQL Flexible Server的Azure資料庫。

由Wiz公司發現的另一個被稱為“OMIGOD”的嚴重Azure漏洞沒有啟用跨租戶訪問。但與其他漏洞相比,它對客戶來說是更直接的問題:該漏洞影響了客戶的一系列Azure服務,並在去年秋天被網路攻擊者廣泛利用。相比之下,目前還不知道其他Azure最近的漏洞是否被利用。

你只有一份工作

在防止雲中的跨租戶漏洞方面,雲客戶的安全團隊無能為力。Forrester公司首席分析師Lee Sustar表示,這些問題顯然超出了任何客戶的能力範圍,他們只能依賴於他們的雲端計算提供商。

所有主要的公有云平臺都使用某種形式的“責任共擔”模型,在供應商和客戶之間劃分安全職責。根據該計劃,供應商承諾保護底層基礎設施。客戶負責保護自己的資料和應用程式。

Sustar指出,跨租戶漏洞無疑屬於責任共擔模型的供應商一方。相比之下,對於過去的雲端計算違規事件,例如CapitalOne資料洩露事件,責任主要在客戶方面。

網路安全服務商FireMon公司的雲安全高階副總裁Mogull表示,確保租戶隔離在雲端計算服務提供商的安全責任中名列前茅。他說,“就像‘你只有一份工作’一樣,對於任何雲端計算提供商來說,沒有更大的風險或擔憂。”

儘管如此,儘管雲平臺在安全性方面並不完美,但在許多情況下,它們仍將比使用資料中心更安全。Mogull說,“我是雲端計算的堅定支持者,我認為每個人都應該把他們能做的一切都遷移到雲平臺上。”

Luttwak表示,對於Wiz公司來說,漏洞研究的目標只是幫助客戶瞭解公有云中確實存在隔離問題。Luttwak公司曾是微軟公司以色列分公司研發部門的首席技術官,後來於2020年共同創立了這家雲安全初創公司。

他說:“這是我們過去認為不夠的。作為雲端計算提供商的使用者,我們確實需要問他們這樣的問題,‘什麼是隔離模型?如何確保隔離?’”

網路安全服務商JupiterOne公司的現場安全總監Jasmine Henry表示,鑑於客戶資料隔離是安全雲端計算的“絕對核心原則”,業界現在才發現需要有關雲端計算提供商使用的隔離架構的文件。Henry表示說,雲端計算提供商必須找到一種方法來證明其隔離性,而不必付出太多代價,也不會造成進一步的安全風險。

她說。“作為一個行業,我認為這些都是我們正在學習的東西。”

觀點問題

Luttwak表示,在Azure中發現的一系列跨租戶漏洞甚至可以被視為一件好事。他說,微軟公司鼓勵此類研究,併為發現Azure漏洞提供高達6萬美元的獎金。

Luttwak說,“存在漏洞的事實並不意味著整個平臺不安全。我不認為可以聲稱Azure比其他產品更安全。這是一個很好的問題,但我認為沒有人有資料可以這麼說。”

2001年創立了諮詢公司Principle Logic公司的Beaver說,Azure中出現的漏洞似乎更像是微軟公司運氣不佳併成為安全研究的目標的問題。

他說,“這些事情隨時可能發生在任何企業身上。”

微軟公司的宣告中表示,其安全團隊全天候工作,以識別和緩解潛在的安全問題。還通過協調漏洞披露與安全研究界合作,確保在公開披露潛在安全問題之前發現並緩解這些問題。

儘管如此,Wiz公司的研究團隊和Orca Security公司的公有云漏洞研究團隊都表示,他們已經投入了類似的時間來尋找AWS、Azure和Google雲中的問題,Azure中主要存在嚴重的跨租戶漏洞。

當然,沒有人會認為安全性被排除在Microsoft Azure服務的設計考慮之外。但多位雲端計算安全專家表示,根據目前的漏洞研究,似乎遺漏了某些允許使用者繞過租戶隔離的使用場景。

身份驗證和授權問題是許多關鍵Azure漏洞的主題。威脅研究服務商Invisible Threat公司的所有者兼首席研究員Scott Walsh說:“這個系統承載了太多的信任。”

Walsh說,對於ChaosDB關鍵漏洞,微軟公司似乎在檢查授權的第一步,但隨後假設信任,這使得網路攻擊者能夠在授權的初始階段之後獲得對其他租戶的訪問許可權。

他說:“基本上看起來,如果有足夠的信任進入這個雲實例,那麼你在這個例項中的每件事都有足夠的信任。在多租戶共享環境中,這還不夠好。”

Wiz研究人員報告說,通過利用CosmosDB服務中的一系列錯誤配置,他們能夠不受限制地訪問網路並獲得許多“祕密”(私鑰和證書)可用於管理資料庫服務。

Orca Security公司表示,SynLapse並非如此。該公司聯合創始人兼執行長Avi Shua在5月9日的一篇部落格文章中寫道,Orca Security公司的研究人員於1月首次發現Azure Synapse服務中的漏洞,但在微軟公司在今年3月部署補丁之後,研究人員在4月仍然能夠繞過租戶分離的問題。

Shua在帖子中說,“我們認為該架構包含潛在的弱點,應該通過更強大的租戶分離機制來解決這些問題。”

未受影響的客戶

Navisite公司執行長Mark Clayman表示,到目前為止,跨租戶Azure漏洞的發現並未引起客戶的重大擔憂,Navisite公司提供雲戰略和遷移服務,並持有頂級Azure Expert MSP認證。Clayman表示,在採用Azure方面,客戶並沒有暫停,至少部分原因是這些發現是相對較新的,到目前為止還沒有發生跨租戶違規行為。

他說,另一個因素可能是“更精通技術”的客戶更有可能專注於AWS或谷歌雲。Clayman說,“我只是發現更傳統、更保守的公司更傾向於Azure。”

IDC公司的Dickson表示,他最近與之交談的客戶也沒有對Azure的關鍵漏洞表示任何擔憂。因此,客戶在這個問題上對微軟公司的壓力似乎很小。

儘管如此,Forrester公司的Sustar表示,儘管客戶過去可能認為跨租戶問題是“低階風險”,但在他們可能會在瞭解最近的調查結果時重新評估這一點。

OrcaSecurity公司的Alon說,如今的微軟公司產生的資金數量和它做出的安全承諾型別之間似乎存在差異。

他說,“如果有一個平臺可以產生數十億美元的收入,並承諾安全,但交付不足,那麼可以將其中的一些資金用於提高安全性。而微軟是世界上規模最大的公司之一。如果選擇這樣做,並且將其作為最高優先順序,他們就可以做出令人驚奇的事情。”

Walsh表示,解決潛在問題可能首先需要更好地處理這些Azure服務中的邊界。然後,微軟公司可能希望隨著時間的推移緩慢地、迭代地改變服務架構,以帶來更加雲原生的身份和訪問管理風格。

他說,“這可能還會有一段時間會面臨困難。”

可信計算2.0?

Alon表示,相信微軟公司將能夠改善圍繞Azure服務漏洞的情況。他指出,微軟公司在扭轉安全方面有著良好的記錄,這可以追溯到2002年著名的“可信賴計算”備忘錄。在給微軟員工的內部備忘錄中,比爾·蓋茨承諾將微軟產品的安全放在更高的優先順序,導致多年來在提高安全性方面取得了很大進步。

Alon表示,微軟公司現在可能正在接近與雲安全類似的時刻。他補充說,懷疑該公司已經在內部進行了更改以阻止未來的Azure安全問題。

Alon說,“但改變需要時間。我們將在接下來的幾個月和幾年內看到更多的改變。”

Mogull表示,近年來,微軟公司通過一系列非常積極的舉措證明了其對網路安全的承諾,這也令人鼓舞。

例如,微軟公司近年來在打擊“全球民族國家級僵屍網路”方面值得稱讚。在今年4月,微軟公司披露了其在摧毀ZLoader僵屍網路中的作用,這是一個由網路犯罪分子用來執行包括勒索軟體在內的攻擊的受感染計算機網路。

Mogull表示,總體而言,它們具有出色的安全性。但談到Azure的安全性,他說,“我只是希望它變得更好。而且我認為微軟公司可以做到。”