安全廠商指出����,雖然已經(jīng)有前例證實,云計算服務企業(yè)安裝客戶不知道的軟件引發(fā)安全風險����,但許多云計算企業(yè)迄今仍然還有這行為。
安全廠商指出���,雖然已經(jīng)有前例證實�����,云計算服務企業(yè)安裝客戶不知道的軟件引發(fā)安全風險�,但許多云計算企業(yè)迄今仍然還有這行為�����。
本周在RSA 2022大會上,安全廠商Wiz公布三大公有云企業(yè)中不為人知���,但有漏洞的中間件(middleware)�,顯示云計算企業(yè)在未清楚告知或在用戶全然不知情下安裝中間件情況仍相當普遍�����。
這是該公司繼去年一項Azure云計算漏洞發(fā)現(xiàn)后的后續(xù)研究����。去年Wiz披露風險值9.8的OMIGOD遠程程序執(zhí)行(RCE)漏洞,是發(fā)生在Open Management Infrastructure(OMI)代理程序中����,當Azure啟動Linux VM時會暗中自動安裝,以致于用戶在不知情下曝險���。
Wiz上周公布的資料僅列出Azure����、AWS及Google Cloud內安裝的12項中間件�����,包含一些過去發(fā)生過漏洞者���,包括Microsoft Azure Guest Agent(WALinuxAgent)關鍵資源許可分配不正確漏洞(CVE-2019-0804���,CVSS 6.5)、AWS Systems Manager Agent的本地權限升級(LPE)到根目錄執(zhí)行漏洞(CVE-2022-29527�,CVSS 7.0)、Google Accounts Daemon的LPE到根目錄執(zhí)行漏洞(CVE-2020-8933����,CVSS 7.8)、以及Google osconfig agent的LPE漏洞�。這些漏洞已經(jīng)修補。
不過研究人員指出���,這些中間件是對接用戶虛擬機和云計算企業(yè)托管基礎架構的角色����,可能使客戶暴露于攻擊表面����。另一個問題是�,這類中間件冒出漏洞時�����,修補責任在誰身上并不明確�����。研究人員以去年OMIGOD為例說明����,當微軟發(fā)布修補程序時,Azure用戶必須自己安裝�����,但是用戶自己并不知道有漏洞�����。
研究人員認為確保修戶安全的最好方法是要求企業(yè)清楚說明�����,它們集成在用戶虛擬機的第三方軟件���。
閩公網(wǎng)安備 35010202001226號
