譯自：Top Cloud Native Threats and Vulnerabilities of 2024[1]

作者：Erin Stephan; Aqua Team

云原生安全漏洞是指任何威脅參與者可以利用的風險，包括軟件缺陷、不安全的代碼、錯誤配置的云、IAM、API等等。

云環(huán)境的復雜性意味著存在幾乎無限數(shù)量的潛在安全風險和漏洞，這些風險和漏洞可能出現(xiàn)在云基礎設施或工作負載中。也就是說，一些云安全威脅比其他威脅更為普遍——了解哪些風險和漏洞是趨勢的關(guān)鍵在于了解在管理組織的攻擊面時需要優(yōu)先考慮什么。為此，本文詳細介紹了2024年出現(xiàn)的七個最突出的云威脅和漏洞，其中包括Aqua研究人員發(fā)現(xiàn)的幾個漏洞。

什么是云原生漏洞？

云原生安全漏洞是指任何類型的威脅或風險，威脅參與者可以利用這些威脅或風險來破壞云原生服務，例如容器。常見云漏洞類型的示例包括：

? 運行在云服務器上的操作系統(tǒng)服務器中的軟件漏洞。

? 容器鏡像中的不安全代碼[2]用于將應用程序部署到云中。

? 容器內(nèi)的錯誤配置，這是可能導致容器化應用程序被破壞的另一個風險。

? 錯誤配置的身份和訪問管理[3](IAM)設置，這可能導致敏感信息泄露或為控制應用程序提供攻擊媒介。

? 云API中的缺陷，威脅參與者可以濫用這些缺陷來獲得未經(jīng)授權(quán)的訪問或竊取敏感數(shù)據(jù)。

有效的云安全取決于在攻擊者利用這些威脅之前發(fā)現(xiàn)和修復這些威脅的能力。

2024年七大云原生威脅和漏洞

云安全工具的目標應該是發(fā)現(xiàn)所有類型的安全風險和漏洞。但是，再次強調(diào)，關(guān)注最新、最常見或最嚴重的風險是幫助決定優(yōu)先處理哪些類型威脅的一種方法。

以下容器和云漏洞屬于此類別，因為大多數(shù)都是相對新穎的威脅，如果任其存在，可能會對云環(huán)境和基于云的工作負載造成重大損害。

1 Perfctl

正如Aqua在2024年10月報道的那樣[4]，perfctl是一種針對Linux服務器的惡意軟件。該惡意軟件已經(jīng)活躍了三到四年，其目標是在訪問受害者服務器后運行加密挖掘軟件作為加密劫持攻擊[5]的一部分。為此，它利用Polkit漏洞(CVE-2021-4034[6])來發(fā)起權(quán)限提升攻擊。

使perfctl尤其值得注意——而且特別危險的是——它用來逃避檢測的復雜技術(shù)。它依賴于rootkit來隱藏其存在，在用戶在系統(tǒng)中活動時停止運行（為了避免產(chǎn)生可能提醒用戶注意漏洞的“噪音”），并刪除其二進制文件并作為后臺服務運行。

諸如網(wǎng)絡分段[7]和文件執(zhí)行限制之類的實踐可以增強服務器對這種惡意軟件和類似惡意軟件的防御能力。

2 Bucket Monopoly

Bucket Monopoly[8]是Amazon Web Services (AWS)云中運行的六項服務中的一個漏洞，允許攻擊者執(zhí)行各種攻擊，包括遠程代碼執(zhí)行和在某些情況下接管帳戶。此漏洞利用所謂的“影子資源”攻擊媒介，該媒介濫用AWS服務自動生成的資源，通常在用戶不知情的情況下。

在發(fā)現(xiàn)這些云安全漏洞后，Aqua將其報告給AWS，AWS在公開披露這些漏洞之前對其進行了修復。盡管如此，這一威脅提醒我們，即使是管理最好的公共云也可能在其核心云服務中遇到重大的安全漏洞。

3 Snap Trap

在2024年2月，Aqua詳細介紹了一種稱為Snap Trap[9]的云安全威脅，該威脅允許威脅參與者在運行Ubuntu Linux的系統(tǒng)上植入惡意軟件包。更具體地說，它允許濫用Ubuntu軟件包管理系統(tǒng)中自動建議軟件包名稱的功能。通過操縱該功能的工作方式，威脅參與者可能會誘騙用戶安裝惡意軟件包而不是合法軟件包。該漏洞也可能被用于在容器內(nèi)植入惡意代碼，因為基于Ubuntu的容器通常使用Ubuntu的包管理工具在運行時安裝軟件。

此缺陷自2016年以來就已為人所知，但從未得到明確的緩解。防御它的最佳方法是利用一些功能——例如Aqua平臺提供的功能——來阻止危險的功能，例如使用包管理器在容器內(nèi)安裝軟件。

4 Hadooken

Hadooken[10]，Aqua研究人員在夏末發(fā)現(xiàn)的惡意軟件，目標是Oracle WebLogic，這是一種廣泛使用的Java EE應用服務器。利用此漏洞需要濫用弱憑據(jù)或易受攻擊的管理員控制臺來訪問WebLogic系統(tǒng)。一旦進入內(nèi)部，攻擊者就可以通過運行任意代碼或橫向移動來破壞其他系統(tǒng)，從而升級入侵。Hadooken是一個典型的例子，說明了為什么漏洞掃描仍然至關(guān)重要，即使對于依賴Oracle等可靠供應商平臺的組織也是如此。

5 GitHub代碼庫密鑰泄露

作為一個由人為風險行為而非技術(shù)缺陷造成的云安全威脅的例子，2024年5月，Azure和Red Hat平臺的訪問憑據(jù)已被通過GitHub代碼庫泄露[11]。泄露發(fā)生是因為這些科技公司的員工為個人項目創(chuàng)建了GitHub代碼庫，并在其中意外存儲了訪問憑據(jù)。

這一威脅提醒我們，教育用戶了解安全最佳實踐以及掃描GitHub代碼庫等資源以查找管理不當?shù)拿荑€[12]非常重要。

6 CUPS漏洞

CUPS，一個開源打印服務器，看起來可能足夠不起眼。但正如安全研究人員在2024年9月報道的那樣，運行CUPS的Linux系統(tǒng)容易受到攻擊[13]，允許遠程威脅參與者執(zhí)行任意代碼。由于攻擊相對容易實施且影響非常流行的軟件服務，因此它被認為是一個嚴重的漏洞。

為了阻止此漏洞，管理員可以從受影響的系統(tǒng)中刪除CUPS軟件或阻止網(wǎng)絡訪問CUPS。為了大規(guī)模緩解威脅，可以考慮使用Aqua強制執(zhí)行運行時策略，以防止CUPS服務在所有系統(tǒng)上運行。

7 Lucifer

正如我們在2024年2月報道的那樣，Lucifer是一個針對Apache Hadoop和Apache Druid（流行的開源“大數(shù)據(jù)”軟件）的惡意軟件活動。最初，攻擊者的目標似乎是嘗試防御規(guī)避[14]技術(shù)，但Lucifer可能導致更嚴重的威脅，包括遠程代碼執(zhí)行。

使用Aqua緩解云安全威脅和漏洞

作為一個全面的云和容器安全平臺，Aqua使組織能夠檢測和緩解各種類型的云安全威脅——從perfctl等操作系統(tǒng)漏洞，到Bucket Monopoly等不安全的云服務，再到GitHub密鑰泄露事件等不安全的密鑰管理，以及更廣泛的威脅。

引用鏈接

[1] Top Cloud Native Threats and Vulnerabilities of 2024:https://www.aquasec.com/blog/top-cloud-native-threats-and-vulnerabilities/

[2]容器鏡像中的不安全代碼:https://www.aquasec.com/cloud-native-academy/application-security/container-scanning/

[3]身份和訪問管理:https://www.aquasec.com/cloud-native-academy/application-security/identity-and-access-management/

[4]在2024年10月報道的那樣:https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

[5]加密劫持攻擊:https://www.aquasec.com/cloud-native-academy/cloud-attacks/cryptojacking/

[6]CVE-2021-4034:https://nvd.nist.gov/vuln/detail/cve-2021-4034

[7]網(wǎng)絡分段:https://www.aquasec.com/cloud-native-academy/container-security/network-segmentation/

[8]Bucket Monopoly:https://www.aquasec.com/blog/bucket-monopoly-breaching-aws-accounts-through-shadow-resources/

[9]Snap Trap:https://www.aquasec.com/blog/snap-trap-the-hidden-dangers-within-ubuntus-package-suggestion-system/

[10]Hadooken:https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/

[11]通過GitHub代碼庫泄露:https://www.aquasec.com/blog/github-repos-expose-azure-and-red-hat-secrets/

[12]管理不當?shù)拿荑€:https://www.aquasec.com/cloud-native-academy/supply-chain-security/secrets-management/

[13]容易受到攻擊:https://www.aquasec.com/blog/cups-a-critical-9-9-linux-vulnerability-reviewed/

[14]防御規(guī)避:https://www.aquasec.com/cloud-native-academy/cloud-attacks/defense-evasion/