微慑信息网

安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露

安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告,指出网络管理员经常忽略亚马逊( AWS )访问控制列表( ACL )规则,导致服务器因错误配置导致大量数据在线泄露。    

Detectify 公司认为,尽管服务器配置错误的原因各不相同,但在 AWS S3 存储设置访问控制时,多数漏洞服务器均由常见问题导致。随后,研究人员通过一系列不同错误配置原因证实,由于服务器与目标系统 ACL 的配置极其薄弱,导致黑客可以随时操控、监视与破坏高端网站。

shutterstock_177586403-680x400

据悉,在该份安全报告中,Rosén 指出 AWS 服务器中存在一处关键漏洞,允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确,攻击者便可访问 S3 列表并读取文件获取信息。此外,攻击者不仅可以将文件写入并上传至 S3 存储服务器中,还可更改用户访问权限。研究人员表示,由于 AWS S3 的访问控制列表配置错误,攻击者在获取访问权限后允许访问服务器敏感数据。

如果将访问控制设置为 “ AuthenticatedUsers ”,就意味着任何用户均拥有一套有效的 AWS 凭据,其基本由用户注册 AWS 账户获得。不过,用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误,那么攻击者唯一需要的就是服务器名称信息。

Detectify 表示,识别服务器名称信息及其所属公司的操作极其简单,存在多种不同方法强制 S3 存储服务器显示,包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示,他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现,目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。

日前,亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确,可能会导致泄漏数据,但他们无法防止用户操作无错误出现。目前,AWS 已提供一些工具,以便用户更改并锁定服务器访问权限。

原作者:Tom Spring,译者:青楚

 

from hackernews.cc.thanks for it.

本文标题:安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0717_5210.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们