德國(guó)研究員Juraj Somorovsky、Mario Heiderich、Meiko Jensen、Jrg Schwenk、Nils Gruschka和Luigi Lo Iacono在合著的一篇名為《你的云真的由你掌控嗎——云管理界面的安全分析》的文章中討論了Amazon AWS和Eucalyptus存在的安全漏洞，攻擊者可以利用這些漏洞來(lái)完全控制受害者賬戶以及與之相關(guān)的存儲(chǔ)數(shù)據(jù)。文章重點(diǎn)討論了一種通過(guò)SOAP接口進(jìn)行的XML簽名攻擊，并且揭露了額外兩種跨站腳本（XSS）技術(shù)，攻擊者可以利用這些技術(shù)從web管理界面侵入用戶賬戶。Amazon和Eucalyptus在這些漏洞被利用前對(duì)其進(jìn)行了修復(fù)。

在傳統(tǒng)的XML簽名攻擊中：

原始SOAP消息體元素會(huì)被轉(zhuǎn)移到SOAP安全消息頭的一個(gè)新添加的偽造包裝器元素中。請(qǐng)注意，利用消息簽名中的標(biāo)記符屬性Id=“body”，簽名還是指向此前被移動(dòng)的消息體。因?yàn)橄�息體元素本身沒(méi)有被修改（只是簡(jiǎn)單轉(zhuǎn)移了位置），所以從密碼學(xué)角度簽名任然有效。其后，為了使SOAP消息的XML模式兼容，攻擊者會(huì)更改本來(lái)指向原始SOAP消息體的標(biāo)識(shí)號(hào)（比如，他修改為Id=“attack”）。這樣就可以開(kāi)始向空SOAP消息體里填充偽造的消息內(nèi)容了，由于簽名驗(yàn)證無(wú)誤，那攻擊者定義的任何一個(gè)操作都可以被有效地執(zhí)行了。

傳統(tǒng)的XML簽名攻擊至少可以有兩種方式來(lái)對(duì)付AWS和Eucalyptus，其中一種對(duì)時(shí)間不敏感。這種攻擊尤其在對(duì)時(shí)間戳不敏感的情況下幾乎不需要滿足什么前提條件，所有攻擊者唯一要做的就是提供一個(gè)有效、經(jīng)過(guò)簽名的SOAP請(qǐng)求消息，而這可以通過(guò)AWS開(kāi)發(fā)者在AWS支持論壇發(fā)布幫助請(qǐng)求直接獲取。文章的幾位作者抱怨造成這種安全漏洞的原因是SOAP處理框架中對(duì)任務(wù)模塊的拆分。由于任務(wù)模塊化，相同的XML消息將以不同的方式在不同的模塊中訪問(wèn)，消息的完整性從沒(méi)有得到過(guò)驗(yàn)證。作者們建議：

最好的對(duì)策辦法就是增強(qiáng)簽名驗(yàn)證功能和業(yè)務(wù)邏輯之間的接口。使用這種方法，簽名驗(yàn)證可以緊跟在返回的布爾值后再加一些已簽名數(shù)據(jù)的位置信息。業(yè)務(wù)邏輯再?zèng)Q定將要處理的數(shù)據(jù)是否已被簽名。

作者們還揭露了兩種腳本注入攻擊，其中一種的目標(biāo)直指AWS管理控制臺(tái)用戶，而另一種則利用了amazon商城界面和AWS之間的共享證書(shū)。前者利用了證書(shū)下載鏈接中的GET參數(shù)——用戶用此鏈接下載Amazon簽署的X.509證書(shū)。盡管如此，這種攻擊的前提條件要求相當(dāng)高，不僅包括使用UTF-7對(duì)注入的腳本進(jìn)行編碼，使其能夠避開(kāi)服務(wù)器邏輯從而對(duì)標(biāo)準(zhǔn)的HTML字符編碼，還需要特定IE版本中某些特性的支持。第二種腳本注入攻擊使用一種持續(xù)的跨站腳本攻擊，利用了AWS為首次登錄到Amazones hop界面的用戶創(chuàng)建的登陸會(huì)話。這種攻擊簡(jiǎn)單而有效：

攻擊者必須要在某個(gè)商城物品、用戶自創(chuàng)標(biāo)簽或其他實(shí)體上創(chuàng)建一個(gè)討論主題。一旦主題創(chuàng)建成功，討論主題的標(biāo)題就會(huì)立刻顯示而不會(huì)做任何特定編碼，這樣就給注入惡意HTML代碼留出了空間。這使得我們能夠加入一些腳本標(biāo)簽或其他活動(dòng)標(biāo)記來(lái)迫使用戶代理在www.amazon.com域上執(zhí)行JavaScript。

文章研究人員與Eucalyptus和Amazon的安全工作人員一起合作，在文章發(fā)表前就修復(fù)了這些漏洞。但就Eucalyptus或任何其他私有云部署的情況來(lái)看，任然存在不利因素：

修復(fù)該安全漏洞存在的難題在于：Eucalyptus部署在數(shù)不勝數(shù)的私有化托管服務(wù)器上。因此，每個(gè)Eucalyptus管理員都必須手動(dòng)更新其服務(wù)器版本。假設(shè)存在大量的設(shè)施（Eucalyptus聲稱其客戶超過(guò)25000個(gè)），那我們真的懷疑能否在短期內(nèi)修復(fù)每臺(tái)服務(wù)器上的攻擊。理論上這是依賴私有云基礎(chǔ)設(shè)施最大的不利因素之一。

文章最后的結(jié)論指出了這種安全隱患將造成的影響規(guī)模，它可能出現(xiàn)在任何已有的云服務(wù)上，因此至少文章中描述的“黑盒”方法學(xué)是很有必要的：

這表明了這類系統(tǒng)本身的復(fù)雜性為產(chǎn)生潛在的安全漏洞創(chuàng)建了一個(gè)大溫床。由此看來(lái)，在不遠(yuǎn)的將來(lái)云控制界面很可能成為某些有組織犯罪團(tuán)伙最感興趣的攻擊目標(biāo)之一。我們發(fā)現(xiàn)的所有安全漏洞，其最重要的威脅不在于會(huì)對(duì)單個(gè)服務(wù)器或者公司造成影響，而在于可以立刻影響到整個(gè)相關(guān)的云用戶。另外，針對(duì)基于Web的云控制界面的跨站腳本攻擊會(huì)對(duì)整個(gè)云安全產(chǎn)生嚴(yán)重的影響。

查看英文原文：Security Vulnerabilities in Amazon and Eucalyptus

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： 安全 大數(shù)據(jù) 代碼 服務(wù)器 腳本 開(kāi)發(fā)者 漏洞 云服務(wù) 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。