HITCONCTF领队李伦铨揭露：云端服务常见6大安全问题

近年来，云端技术发展成熟，许多企业或是政府单位开始将自家资料转移至云端数据库，并委托第三方公司来管理或分析云端资料，但HITCON CTF领队李伦铨表示，将云端资料委外时，若权限设定错误时，反而会造成更严重的后果。他指出，目前云端常见资安问题可以归纳成6大类，包含CDN传输层实作问题、权限设定不良、设备解析问题、数据库问题、网站漏洞、Serverless的架构问题。

图说：李伦铨使用AWS的网站系统架构为例，指出云端服务常见有6大问题。图片来源：AWS

问题1：CDN传输层功能问题

第一个问题是CDN传输层实作问题。使用者建立云端架构的时候，经常会使用CDN服务，CDN不仅能够加速资料的传递，也有其他的功能，例如，CDN厂商提供应用程序防火墙（WAF）、DDoS防护，以及提供HTTPS等功能。李伦铨认为，CDN厂商为了商业的利益，演变成CDN提供的附加功能越来越多，导致带来的风险也变高。

举例来说，今年2月CloudFlare爆发了云端淌血漏洞事件，造成用户密码和个人资料外泄长达5个月。因攻击手法与2014年心脏淌血（Heartbleed）事件相似，就称为“Cloudbleed”。李伦铨解释，CloudFlare 3项功能的Praser程式码有错误，造成使用相同代理服务器的网站用户，能够看到其他网站的资料。

图说：Parser程式码中原本该是“==”的地方，却被打成了“>=”，导致缓冲溢位（buffer overflow），使大量CloudFlare的服务器内存内容外泄而可被前端HTTP呼叫。图片来源：CloudFlare

CloudFlare发生资安事件后，修改了包括电子邮件程式码混淆（obfuscation）、Server-side Excludes，以及Automatic HTTPS Rewrites等3项受影响功能中的HTMLParser程式码，以及立即关闭其功能，降低了损害程度。

李伦铨认为，CloudFlare这次事件凸显出，用户太过依赖云端服务厂商，却又无法保证云端服务厂商都能安全无虞。

另外，原本企业使用CDN服务的另一个目的是避免自家服务器直接面对骇客，一旦遇到DDoS攻击，仅会波及CDN厂商。但是，最近出现一套骇客工具HatCloud，专门挖掘受CloudFlare代管网站的真实IP，让骇客可以锁定真实IP地址攻击。所幸，李伦铨补充，这套骇客工具只会攻击DNS组态设定错误的网站，并非所有CloudFlare代管的网站都能攻击。

图说：专门探测CloudFlare背后真实IP的骇客工具。图片来源：GitHub

问题2：权限设定不良

李伦铨指出，部分企业或政府单位为了在短时间内，把云端的资料交给委外公司管理或分析，却忽略了权限的设定，包括IAM（身份认证管理）权限设定、AWS S3资料夹权限原则设定、防火墙安全群组（security groups）设定、数据库权限设定，以及应用程序权限设定等5种权限管理的疏忽，造成大量的机密资料外泄。

其中，美国近期发生的2起重大资料外泄案，资料储存在Amazon S3交给第三方单位管理，分别是今年6月初美国国防部军事卫星情资外泄案，以及6月20日美国共和党2亿笔选民资料外泄案。李伦铨表示，云端资料委外处理，必须注意委外公司的权限设定，不能开放全部的权限。因为大部分资料外泄案件，归咎于委外权限设定不良。

不仅如此，今年初，一批骇客利用移除公开暴露在网络上的MongoDB内资料，勒赎数据库所有人需支付0.2个比特币（约新台币1.5万元），才愿意回复数据库的全部原始资料。李伦铨认为，过去骇客仅会利用钓鱼邮件，被动地等待受害者上钩后，才会启动勒索攻击，但现在骇客能够在“暗黑版Google”的搜索引擎Shodan，扫描未加密的MongoDB，主动发动勒索攻击，加密整个数据库。

问题3：设备解析问题

李伦铨指出，2016年底中国研究人员发表了一篇论文名称为“Host of Troubles”，揭露了关于不同设备对Host Header解析的歧异，让骇客可以从中拦截网页浏览请求，转向伪造网址。例如，NSA（国家安全局）的网页曾一度被替换成其他的网页，但是，实际上NSA网页没有被替换，只是网址解析出真实IP的过程遭骇客拦截。

骇客发现大部分中介服务设备处理Host Header字串时没有遵守RFC7230协议解析，利用这个漏洞来伪造类似的网域名称，进而替换正牌网址与真实IP的对应关系，包括了Apache、Nginx网站服务器、透通式快取服务（Transparent Cache），如ATS、Squid、反向代理服务（Reverse Proxy），如Varnish、Akamai、阿里巴巴、CloudFlare等CDN服务，以及防火墙服务。

例如，正常情况下，某一个网站的网域是www.A.com.tw，对应的网络位址是1.1.1.1，使用者输入A网站网址就会进入网址IP为1.1.1.1的网站，骇客会先注册一个和目标网站相似的网域名称为“www. A.com.tw（A前方为空格）”，但对应到IP却是骇客拥有的1.1.1.2。部分中间服务解析Host Header时，会忽略网址中的空格，导致骇客钓鱼网址和正常网站的网址被视为是同一个网站。骇客刻意大量浏览钓鱼网站来让中间解析服务优先快取钓鱼网址，造成网友浏览原来A网站时，反而透过快取而打开了骇客伪造的网站。李伦铨说明，如果骇客在伪造的钓鱼网站中植入木马，使用者进入网站后，电脑就会遭到木马感染。

问题4：DB问题

李伦铨指出除了MongoDB资料暴露在外，以及MySQL风险之外，还有一种是RADIUS权限设定有疏失。骇客利用RADIUS的漏洞，植入远端服务管理SSH金钥至RADIUS的服务器，不但能够取得此服务器的使用权限，也可以利用相同方式取得其他RADIUS的服务器权限。

问题5：网站系统漏洞

李伦铨说明，只要是人就会写出有问题的程式，有问题的程式就会造成漏洞。在2005年以前，骇客利用网站漏洞来替换网页，或是直接在网页挂马，窃取使用者的个资。但近年来，骇客直接置换在网站的软件，欺骗使用者下载具有恶意程式的伪造软件或是操作系统。

例如，2013年KMPlayer软件更新程式遭骇事件，骇客直接攻击官方网站，把开源专案的程式包，全部替换设有后门的KMPlayer软件程式，使用者安装了伪造的版本，也相对地安装了后门。

此外，骇客也开始转往攻击开发者的环境。李伦铨指出，今年爆发出Samba漏洞后，许多资安研究人员为了探究漏洞产生的原因，纷纷上网下载Python程式码开发的Samba套件，然而，网络也出现了新钓鱼手法“Python package 钓鱼”。

一名骇客在网络假造了一个Python的Samba套件，并以Python惯用规则命名成的“SMB”，伪装成官方提供的套件，上传至Python套件索引平台PyPI上提供下载。当研究员使用Python套件管理工具“pip”下载“SMB”时，骇客也能顺便窃取了研究人员回传的Username、Hostname、IP地址和其他主机资讯。不仅如此，2015年发生的XcodeGhost风暴事件也都透露出，攻击开发环境已经成为一种风潮。

问题6：Serverless的安全问题

2014年AWS推出了Serverless的运算架构，李伦铨指出，从资安观点来看，使用者不会拥有服务器，一旦发生DDoS攻击，都由云端厂商负全责，但除了DDoS问题，Serverless架构仍然有其他的安全问题，如Lambda功能的存取控管风险（Funtion Access）、AWS资源权限管理风险（Resource Permisson）、资源滥用（Resorce Abuse）、Container 安全性，以及程式码注入（Code injection）风险等问题。

李伦铨表示，公有云的安全性是一种假设，仍在许多环节会出现意外或绕过管制的可能，而且无论是管理凭证的机构、网络营运商、云端服务商，甚至自家开发者都可能会发生疏失。而骇客不仅攻击使用者，也开始转而攻击外包商，以及系统架构业者，所以，最好的方法就是接受资安问题的存在，寻找适合的处理方式正面迎战。