開發(fā)者經(jīng)常無意中在網(wǎng)上暴露AWS訪問密鑰，這已不是秘密，這些密鑰在組織有機會撤銷它們之前，就被攻擊者抓取并濫用。Clutch Security的研究人員進行了一項測試，以查看這種情況發(fā)生的速度有多快。

他們將AWS訪問密鑰（在不同場景下）散布在：

代碼托管和版本控制平臺：

• GitHub和GitLab 公共代碼倉庫：Docker Hub（用于容器）、npm（用于JavaScript包）、PyPI（用于Python軟件）、Crates.io（用于Rust crates）
• 托管和測試代碼片段的倉庫：JSFiddle、Pastebin以及公共和私有GitHub Gists
• 開發(fā)者論壇：Stack Overflow、Quora、Postman社區(qū)和Reddit 。

這項測試的結(jié)果顯示，攻擊者傾向于在幾分鐘內(nèi)發(fā)現(xiàn)并利用在GitHub和DockerHub上泄露的AWS訪問密鑰，而在PyPI、Pastebin和Postman社區(qū)上暴露的密鑰則在幾小時內(nèi)被利用。

在GitLab、Crates.io、公共GitHub Gists、JSFiddle、Stack Overflow、Reddit和Quora上發(fā)布的AWS秘密在1到5天內(nèi)被利用。只有在npm和私有GitHub Gists上泄露的密鑰未被使用。

如何自動撤銷暴露的AWS密鑰 研究人員發(fā)現(xiàn)，攻擊者通常足夠快，能夠在AWS（如果客戶使用AWS的安全中心和信任顧問服務(wù)）發(fā)送的關(guān)于暴露密鑰的警報之前行動。

盡管AWS將暴露的密鑰自動放入“隔離區(qū)”，但這并不足以阻止所有濫用：它只是限制了攻擊者創(chuàng)建一些AWS資源的能力。研究人員泄露的AWS訪問密鑰允許攻擊者登錄到公司的沙盒云環(huán)境，進行偵察，提升權(quán)限和進行橫向移動，甚至試圖利用公司的基礎(chǔ)設(shè)施進行資源密集型操作。

Clutch Security 公司對此表示，“這不是機會主義；而是自動化和意圖。我們觀察到的行動描繪了一幅有方法、高度組織的操作流程?！?/p>

正如Clutch研究人員所看到的，當(dāng)前泄露的AWS密鑰的問題在于，這些密鑰的撤銷留給了客戶，而大多數(shù)客戶未能迅速行動。“現(xiàn)實很清楚：暴露和輪換之間的時間窗口足以讓攻擊者造成重大損害?！?/p>

AWS密鑰泄露事件愈演愈烈

就目前來看，AWS密鑰泄露呈現(xiàn)出愈演愈烈的趨勢。

AWS密鑰泄漏已在一些主要應(yīng)用程序中被發(fā)現(xiàn)，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在線購物服務(wù)Club Factory和Wholee。這些結(jié)果是對提交給CloudSEK的移動應(yīng)用安全搜索引擎BeVigil的1萬多個應(yīng)用程序進行分析后得出的。

總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應(yīng)用程序中，公開的AWS密鑰可以訪問多個AWS服務(wù)，包括S3存儲服務(wù)的憑據(jù)，這反過來又可以訪問88個存儲桶，其中包含10073444個文件和數(shù)據(jù)，總計5.5 tb。存儲桶中還包括源代碼、應(yīng)用程序備份、用戶報告、測試工件、配置和憑據(jù)文件，這些文件可以用來深入訪問應(yīng)用程序的基礎(chǔ)設(shè)施，包括用戶數(shù)據(jù)庫。

除此之外，近年來AWS密鑰泄露事件屢屢發(fā)生。據(jù)媒體11月14日報道，自2021年以來，一個名為“fabrice”的惡意Python包在PyPI中被發(fā)現(xiàn)，該軟件包竊取了Amazon Web Services憑據(jù)，已被下載超過37000次。

大量下載是由于fabrice 對合法的SSH 遠程服務(wù)器管理包“fabric”進行錯字造成的，這是一個非常受歡迎的庫，下載量超過2 億次。該 Fabrice 之所以長期未被檢測到，是因為在 PyPI 上首次提交后就部署了先進的掃描工具，而且很少有解決方案進行追溯掃描。

值得一提的是，這個軟件包通過執(zhí)行特定腳本，在Linux和Windows系統(tǒng)上竊取AWS密鑰，并將其傳遞給VPN服務(wù)器，使得追蹤變得更加困難。

在另外一起假冒LockBit勒索軟件的事件中，攻擊者濫用AWS S3 Transfer Acceleration功能實施勒索軟件攻擊，將Golang勒索軟件偽裝成LockBit，以迫使受害者支付贖金。已確認的AWS訪問密鑰和賬戶已被暫停，趨勢科技檢測到30多個嵌入了AWS訪問密鑰ID和秘密訪問密鑰的樣本。

CloudSEK研究人員表示：在移動應(yīng)用程序源代碼中硬編碼的AWS密鑰可能是一個巨大的漏洞，特別是如果(身份和訪問管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大，因為攻擊可以鏈接，攻擊者可以進一步訪問整個基礎(chǔ)設(shè)施，甚至代碼庫和配置。

參考來源：https://www.helpnetsecurity.com/2024/12/02/revoke-exposed-aws-keys/