安全廠商指出���,雖然已經(jīng)有前例證實����,云計算服務(wù)企業(yè)安裝客戶不知道的軟件引發(fā)安全風(fēng)險��,但許多云計算企業(yè)迄今仍然還有這行為��。
安全廠商指出��,雖然已經(jīng)有前例證實����,云計算服務(wù)企業(yè)安裝客戶不知道的軟件引發(fā)安全風(fēng)險�,但許多云計算企業(yè)迄今仍然還有這行為。
本周在RSA 2022大會上���,安全廠商Wiz公布三大公有云企業(yè)中不為人知�,但有漏洞的中間件(middleware),顯示云計算企業(yè)在未清楚告知或在用戶全然不知情下安裝中間件情況仍相當(dāng)普遍�����。
這是該公司繼去年一項Azure云計算漏洞發(fā)現(xiàn)后的后續(xù)研究��。去年Wiz披露風(fēng)險值9.8的OMIGOD遠(yuǎn)程程序執(zhí)行(RCE)漏洞���,是發(fā)生在Open Management Infrastructure(OMI)代理程序中����,當(dāng)Azure啟動Linux VM時會暗中自動安裝���,以致于用戶在不知情下曝險�����。
Wiz上周公布的資料僅列出Azure���、AWS及Google Cloud內(nèi)安裝的12項中間件,包含一些過去發(fā)生過漏洞者����,包括Microsoft Azure Guest Agent(WALinuxAgent)關(guān)鍵資源許可分配不正確漏洞(CVE-2019-0804,CVSS 6.5)、AWS Systems Manager Agent的本地權(quán)限升級(LPE)到根目錄執(zhí)行漏洞(CVE-2022-29527�,CVSS 7.0)、Google Accounts Daemon的LPE到根目錄執(zhí)行漏洞(CVE-2020-8933���,CVSS 7.8)��、以及Google osconfig agent的LPE漏洞��。這些漏洞已經(jīng)修補(bǔ)��。
不過研究人員指出�����,這些中間件是對接用戶虛擬機(jī)和云計算企業(yè)托管基礎(chǔ)架構(gòu)的角色����,可能使客戶暴露于攻擊表面����。另一個問題是��,這類中間件冒出漏洞時��,修補(bǔ)責(zé)任在誰身上并不明確。研究人員以去年OMIGOD為例說明��,當(dāng)微軟發(fā)布修補(bǔ)程序時���,Azure用戶必須自己安裝�����,但是用戶自己并不知道有漏洞��。
研究人員認(rèn)為確保修戶安全的最好方法是要求企業(yè)清楚說明�,它們集成在用戶虛擬機(jī)的第三方軟件����。
閩公網(wǎng)安備 35010202001226號
