從這兩年的雲計算行業安全黑板報來看看雲安全現狀

餘波未平,暗潮又起的nsa武器攻擊事件給整個IT業都帶來了巨大的危機感。

這段時間也看到了各雲廠商,絕大多數是提供公有雲服務的,從基礎設施虛擬化到容器微服務領域都有,紛紛強調了自家的安全能力。

其實,類似本次SAMBA漏洞的這種通用軟體級漏洞得益於官方與行業內眾多力量的聚集,預先防護與應急響應在雲廠商處都尤為迅速。

而各家自己開發的應用/系統,如雲管平台、用戶介面、SaaS業務、為客戶建設的私有雲、細分領域內的雲服務內容等的安全狀況則沒那麼樂觀。講究敏捷的互聯網業務模式,對近年擴張迅速的雲計算行業同樣提出了快速迭代的要求,業務與市場至上,安全同樣不能忽視。以前講傳統安全的時候,說先除開大廠不談,有的企業沒有或有薄弱的安全支撐,稍好一點的請外部安全公司/團隊進行安全評估、參與眾測,更好一點的從需求開始貫徹SDL、定期攻防演練等等。但對雲計算廠商而言,提供的雲服務、雲資產都是用戶的業務命脈,如果不能提供應對各種場景的強大安全能力,考慮到安全木桶的每一個細節,如何能使用戶放心地將業務上雲呢。

儘管現在雲上的安全責任應由雲服務提供者與用戶共同承擔,如這周看到的某公有雲廠商給出的用戶等保測評指南,將責任劃分寫得很清楚。筆者也經歷過雲數據中心級的等保測評,看了這份指南不得不感慨一句真牛,真能為有資質測評需要的用戶省不少心。

當然安全測評和實際面臨的安全威脅間是有距離的,就不展開了,之後可能會專門寫一篇那些和雲計算有關的安全資質的文章。

因為私有SRC隱藏了不少信息,筆者只通過互聯網可查的公開漏洞信息,對這兩年和雲有關的漏洞用 selenium bs4 進行了簡單爬取,既有專業的雲服務提供者,也有不當/危險的雲上業務場景。

重要:以下信息可直接通過補天平台、漏洞盒子和去年7.20前存在的那個它的公共查詢功能查到。為了避免影響廠商利益,通過簡單的正則做了mask。

2017-06-01 14:25:09██雲██ 的一個邏輯漏洞2017-05-26 15:19:57 上██七██信息技術有限公司 的一個信息泄露漏洞2017-05-15 17:08:46 達██雲██科技(北京)有限公司 的一個SQL注入漏洞2017-05-11 14:58:32 ██易██雲██科技有限公司 的一個XSS漏洞2017-05-11 14:58:12 金穎??雲██家 的一個許可權繞過漏洞2017-05-03 15:04:03 移██雲██站 的一個SQL注入漏洞2017-04-24 10:08:03 上海外██雲██金融服務有限公司 的一個命令執行漏洞2017-04-05 19:16:17 科██軟體 的一個SQL注入漏洞2017-03-24 14:52:35 貴州電子商██雲██? 個信息泄露漏洞2017-03-21 15:58:57 ██智慧教██雲██台 的一個命令執行漏洞2017-03-08 11:57:13 ███信e██雲██? 個命令執行漏洞2017-03-08 11:25:07 中國教██雲██? 個命令執行漏洞2017-03-08 04:12:21 http://www.eqi██.cn 的一個命令執行漏洞2017-03-08 04:03:40 盈科██雲██技 的一個命令執行漏洞2017-03-08 03:43:53 ██雲██技 的一個命令執行漏洞2017-03-08 01:47:07 優██雲██合教育公共服務平台 的一個命令執行漏洞2017-03-08 00:25:32 森██雲██? 個命令執行漏洞2017-03-07 23:42:24 ██綜合教██雲██台 的一個命令執行漏洞2017-03-02 15:21:27 樂████TV 的一個許可權繞過漏洞2017-02-17 11:00:02 健██雲██務平台 的一個文件上傳漏洞2017-02-16 11:30:02 廣██省██大██雲██分廳 的一個代碼執行漏洞2017-02-14 14:00:02██雲██叫中心 的一個弱口令漏洞2017-02-14 14:00:02██雲██櫃客房全網銷售系統 的一個弱口令漏洞2017-01-18 16:30:02 合肥教██雲██台 的一個任意文件操作漏洞2017-01-18 15:00:02 安寧市██醫██ 的一個弱口令漏洞2017-01-10 14:30:02 流██口信息服務平台 的一個弱口令漏洞2016-12-27 14:00:02 ██雲██? 個入侵事件漏洞2016-12-16 11:00:02 吉██省██市紀██ 的一個命令執行漏洞2016-12-08 18:00:08██雲██端官網 的一個命令執行漏洞2016-12-02 11:00:02 機██雲██ y硬體自助開發██雲██務平台 的一個弱口令漏洞2016-11-29 12:00:02 ██市體████ 的一個信息泄露漏洞2016-11-24 16:30:01 蘇████雲██絡科技有限公司 的一個SQL注入漏洞2016-11-19 11:30:17 宏████ 的一個弱口令漏洞2016-11-15 17:00:02██雲██財經 的一個入侵事件漏洞2016-11-10 11:00:01 ██雲██ 的一個存在後門漏洞2016-11-04 16:00:03██雲██網 的一個命令執行漏洞2016-10-25 16:30:02 中國電████公司 的一個弱口令漏洞2016-10-13 12:00:02 ██市████行業協會 的一個SQL注入漏洞2016-10-11 16:44:02 唯██雲██控 的一個命令執行漏洞2016-10-09 13:00:01██雲██OA系統存 的一個XSS漏洞2016-10-08 14:00:01 中██雲██聯 的一個SQL注入漏洞2016-10-03 16:00:02██雲██關-一鍵式智能通關服務平台 的一個SQL注入漏洞2016-09-08 16:00:01 北██雲██旗信息技術有限公司 的一個SQL注入漏洞2016-09-05 10:00:01 優██雲██合教育公共服務平台 的一個SQL注入漏洞2016-09-04 16:00:02 天██雲██? 個XSS漏洞2016-09-02 15:00:01 微████ 的一個弱口令漏洞2016-09-02 14:30:01 ████科技有限公司 的一個信息泄露漏洞2016-09-02 14:30:01 中國電████ 的一個信息泄露漏洞2016-09-02 11:00:02 cnni██ 的一個SQL注入漏洞2016-09-01 10:30:01██雲██ 的一個信息泄露漏洞2016-08-30 14:30:02 ██雲██用網 的一個命令執行漏洞2016-08-26 12:00:02 青██雲██互動網路有限公司 的一個SQL注入漏洞2016-08-19 16:43:43 中國科██數██雲██? 個SQL注入漏洞2016-08-12 16:50:02 天██雲██ 的一個邏輯漏洞2016-08-11 11:00:02 www.yn████.org 的一個文件上傳漏洞2016-07-28 17:50:01 http://yn.wen████.com 的一個信息泄露漏洞2016-07-28 13:50:01 喬████ 的一個弱口令漏洞2016-07-26 11:50:02 七██雲██? 個弱口令漏洞2016-07-26 10:50:02██雲██車中心 的一個SQL注入漏洞2016-07-25 15:50:02 ██雲██ 的一個SQL注入漏洞2016-07-24 12:50:01 鏈██雲██ 的一個弱口令漏洞2016-07-22 00:50:01 ██天██████科技股份有限公司 的一個信息泄露漏洞2016-07-20 19:50:01██雲██平台 的一個SQL注入漏洞2016-07-19 16:50:01 北██信██雲██機 的一個信息泄露漏洞2016-07-19 12:50:02██雲██ 的一個邏輯漏洞2016-07-14 14:50:02 ██████網路科技股份有限公司 的一個SQL注入漏洞2016-07-13 15:50:02 周██雲██? 個弱口令漏洞2016-07-13 10:50:02 ██外服██雲██ 的一個命令執行漏洞2016-07-13 10:50:02 ██健██雲██據中心 的一個SQL注入漏洞2016-07-12 11:50:02 周██雲██? 個弱口令漏洞2016-07-11 16:00:02██雲██微動科技有限公司 的一個XSS漏洞2016-07-11 12:50:01 徐██雲██院 的一個命令執行漏洞2016-07-08 16:50:02 阿██雲██? 個邏輯漏洞2016-07-01 16:50:02 小██雲██台 的一個命令執行漏洞2016-06-29 16:50:01 前██雲██作平台 的一個弱口令漏洞2016-06-29 14:50:02██雲██支付 的一個命令執行漏洞2016-06-29 10:00:02 智能家██雲██台 的一個命令執行漏洞2016-06-28 18:50:02 ██市██雲██息技術有限公司 的一個信息泄露漏洞2016-06-28 16:50:02 ██教育資██雲██台 的一個SQL注入漏洞2016-06-27 12:00:01 Tes██雲██ 的一個命令執行漏洞2016-06-21 14:00:01 南██雲██通訊科技有限公司 的一個信息泄露漏洞2016-06-20 10:00:03 ██時████網路通信有限公司 的一個信息泄露漏洞2016-06-18 15:50:02 中██雲██APP 的一個SQL注入漏洞2016-06-15 09:50:02 1████ 的一個SQL注入漏洞2016-06-13 12:00:02██雲██通 的一個弱口令漏洞2016-06-10 10:50:02 健██雲██務平台 的一個命令執行漏洞2016-06-08 15:50:01 ██雲██? 個SQL注入漏洞2016-06-07 12:50:01 重██雲██醫療科技有限公司 的一個信息泄露漏洞2016-06-07 11:00:02 傲██雲██覽器 的一個信息泄露漏洞2016-06-06 18:50:02 深圳██雲██網路技術有限公司 的一個邏輯漏洞2016-06-06 15:50:01 ██雲██算機科技 的一個解析漏洞漏洞2016-06-01 14:50:02 廣████雲██息科技 的一個入侵事件漏洞2016-05-28 11:50:02 世██聯 的一個代碼執行漏洞2016-05-27 12:00:01 架██雲██? 個弱口令漏洞2016-05-27 11:50:02 阿██雲██? 個信息泄露漏洞2016-05-26 15:50:02 青██雲██ 的一個SQL注入漏洞2016-05-17 11:50:02 婁底教██雲██台 的一個入侵事件漏洞2016-05-12 23:50:02 長██雲██電子商務有限公司 的一個信息泄露漏洞2016-05-08 13:50:02 ████股份有限公司 的一個信息泄露漏洞2016-05-06 16:50:02 其██ 的一個入侵事件漏洞2016-05-06 11:50:01 ██ 的一個信息泄露漏洞2016-05-05 12:00:01 ██雲██技 的一個命令執行漏洞2016-04-30 10:50:01 72██ 的一個SQL注入漏洞2016-04-29 12:50:02 睿██雲██? 個弱口令漏洞2016-04-27 14:42:48 72██ 的一個SQL注入漏洞2016-04-26 17:50:01 學██雲██? 個信息泄露漏洞2016-04-22 17:00:01 ██雲██? 個命令執行漏洞2016-04-20 18:50:01 ██雲██? 個XSS漏洞2016-04-13 10:50:02 濟源市教██雲██台 的一個信息泄露漏洞2016-04-08 23:50:02 中國████科學數據中心 的一個弱口令漏洞2016-04-05 15:50:02 上██雲██互聯網金融信息服務有限公司 的一個信息泄露漏洞2016-03-27 15:50:02██雲██網路科技有限公司 的一個SQL注入漏洞2016-03-17 15:50:01 濱██"安██雲██|o平台 的一個入侵事件漏洞2016-03-17 15:37:02 上██雲██科技 的一個弱口令漏洞2016-03-17 15:36:48 東██通 的一個弱口令漏洞2016-03-10 10:50:01 CloudNM████科技 的一個弱口令漏洞2016-02-28 13:50:01 彩██雲██? 個弱口令漏洞2016-02-23 18:50:01 湘██雲██航及推送平台 的一個弱口令漏洞2016-02-11 13:50:01 奧██雲██? 個信息泄露漏洞2016-02-01 15:50:01██雲██電子政務一體化網站 的一個命令執行漏洞2016-01-26 18:50:01 惠██雲██? 個邏輯漏洞2016-01-26 14:00:01 ██雲██? 個SQL注入漏洞2016-01-24 13:50:01 ██████盾科技有限公司 的一個文件包含漏洞2016-01-22 16:41:45 ████訊軟體有限公司 的一個弱口令漏洞2016-01-19 17:55:44 騰████ 的一個許可權繞過漏洞2016-01-13 19:50:01██雲██配 的一個弱口令漏洞2016-01-13 19:03:03██雲██算髮展與政策論壇 的一個代碼執行漏洞2016-01-08 16:50:01 ██雲██ 的一個信息泄露漏洞2016-01-04 13:50:01 ██市前██雲██互聯網金融服務有限公司 的一個SQL注入漏洞2016-01-02 17:00:02██雲██堂 的一個XSS漏洞2017-04-19 22:54 中██雲██2017-04-19 22:14 中██雲██??█雲██意手機註冊用戶密碼重置2017-04-16 15:05 中██騰██雲██Χǒ騰██雲██站存在命令執行漏洞2017-04-15 11:22 CNCERT國家互聯網應急中心 2017-04-13 22:39 CNCERT國家互聯網應急中心 2017-04-05 10:43 CNCERT國家互聯網應急中心 2017-03-30 00:15██雲██微██ 2017-04-02 22:20 CNCERT國家互聯網應急中心 2017-04-02 21:28 CNCERT國家互聯網應急中心 2017-04-01 13:32 CNCERT國家互聯網應急中心 2017-04-01 13:27 CNCERT國家互聯網應急中心 2017-03-29 23:34 CNCERT國家互聯網應急中心 2017-03-29 20:31 CNCERT國家互聯網應急中心 2017-03-29 11:28 CNCERT國家互聯網應急中心 2017-03-28 23:38 CNCERT國家互聯網應急中心 2017-04-19 22:54 中██雲██2017-04-19 22:14 中██雲██??█雲██意手機註冊用戶密碼重置2017-04-16 15:05 中科騰██雲██Χǒ騰██雲██站存在命令執行漏洞2017-04-15 11:22 CNCERT國家互聯網應急中心 2017-04-13 22:39 CNCERT國家互聯網應急中心 2017-04-05 10:43 CNCERT國家互聯網應急中心 2017-03-30 00:15██雲██微店 2017-04-02 22:20 CNCERT國家互聯網應急中心 2017-04-02 21:28 CNCERT國家互聯網應急中心 2017-04-01 13:32 CNCERT國家互聯網應急中心 2017-04-01 13:27 CNCERT國家互聯網應急中心 2017-03-29 23:34 CNCERT國家互聯網應急中心 2017-03-29 20:31 CNCERT國家互聯網應急中心 2017-03-29 11:28 CNCERT國家互聯網應急中心 2017-03-28 23:38 CNCERT國家互聯網應急中心 2017-03-22 10:35 廣██雲██信息技術有限公司 2017-03-23 09:27 CNCERT國家互聯網應急中心 2017-03-21 15:12██雲████雲██st2-0462017-03-19 13:34 北██雲██學科技有限公梖??雲██學官方平台struts2漏洞直接root許可權2017-03-18 23:07 CNCERT國家互聯網應急中心 2017-03-16 18:46 Eye智██雲██e智██雲██頻監控系統命令執行2017-03-15 21:15 CNCERT國家互聯網應急中心 2017-03-15 15:47 輕██雲██??█雲██uts遠程執行漏洞信息泄露2017-03-15 00:49 CNCERT國家互聯網應急中心 2017-03-11 15:56██雲██傳梖??雲██傳媒存在st2-045漏洞2017-03-10 15:14 CNCERT國家互聯網應急中心 2017-03-09 22:29 CNCERT國家互聯網應急中心 2017-03-09 17:12 CNCERT國家互聯網應急中心 2017-03-09 17:03 CNCERT國家互聯網應急中心 2017-03-14 20:16 CNCERT國家互聯網應急中心 2017-03-09 01:41 CNCERT國家互聯網應急中心 2017-03-09 00:15 CNCERT國家互聯網應急中心 2017-03-11 17:14 CNCERT國家互聯網應急中心 2017-03-08 12:51 CNCERT國家互聯網應急中心 2017-03-08 10:16 廣██雲██信息技術有限公司 2017-03-08 08:32 CNCERT國家互聯網應急中心 2017-03-08 00:44 CNCERT國家互聯網應急中心 2017-03-07 20:57 CNCERT國家互聯網應急中心 2017-03-07 16:51 CNCERT國家互聯網應急中心 2017-03-07 15:41 廣██雲██信息技術有限公司 2017-03-09 23:19 CNCERT國家互聯網應急中心 2017-03-07 19:45 廣██雲██信息技術有限公司 2017-03-10 09:49 CNCERT國家互聯網應急中心 2017-03-08 15:15 CNCERT國家互聯網應急中心 2017-03-07 18:37 ██雲通信 ██郵箱struts2-045命令執行2017-03-09 11:37 校██雲██¢?█雲██系統struts2 s-045命令執行漏洞2017-03-08 23:53 CNCERT國家互聯網應急中心 2017-03-08 00:43 北京盈科██雲██技有限公司 ██雲██台命令執行2017-03-09 15:45 CNCERT國家互聯網應急中心 2017-03-07 20:13 CNCERT國家互聯網應急中心 2017-03-05 10:35 南京雨██雲██央電子商務有限公司 南京雨██雲██央電子商務有限公司 某站存在sql注入 泄露用戶42w條2017-03-01 14:55 廣██雲██信息技術有限公司 2017-02-28 19:04 CNCERT國家互聯網應急中心 2017-02-24 13:00 CNNVD中國國家信息安全漏洞庫 2017-02-23 23:28██雲██ 2017-02-22 20:31 CNCERT國家互聯網應急中心 2017-02-21 14:04██雲██ 2017-02-16 22:38 杭██雲██網路科技有限公司 手游「咚嗒嗒」代碼漏洞 可以達到PVP必勝等效果2017-01-16 22:44 SH██ 2017-01-09 18:37 北京新奧██雲██科技有限公司 新奧██雲██科技www站存在sql注入(root許可權)2017-01-11 22:10 CNCERT國家互聯網應急中心 2017-01-07 20:26 中國領先的SaaS級智能營██雲██台 中國領先的SaaS級智能營██雲██台 某站svn配置不當源碼泄露2016-12-28 22:13 CNNVD中國國家信息安全漏洞庫 2016-12-21 10:28 深圳██雲██物流有限公司 2016-12-19 21:40 金██軟體 2016-12-20 13:18 CNCERT國家互聯網應急中心 2016-12-11 11:30 CNCERT國家互聯網應急中心 2016-12-09 09:57 CNCERT國家互聯網應急中心 2016-12-09 15:24██雲██ 2016-12-12 11:25 CNCERT國家互聯網應急中心 2016-12-08 21:30██雲██在線學習平台 2016-11-30 10:34██雲██端 2016-12-02 07:50 CNCERT國家互聯網應急中心 2016-11-29 17:33 CNCERT國家互聯網應急中心 2016-11-26 10:43 CNCERT國家互聯網應急中心 2016-11-18 17:44 CNCERT國家互聯網應急中心 2016-11-15 20:20██雲██方 2016-11-15 14:57 深圳██雲██保科技有限公司 2016-11-15 15:26 CNCERT國家互聯網應急中心 2016-11-14 18:57 CNCERT國家互聯網應急中心 2016-11-12 23:08 CNCERT國家互聯網應急中心 2016-11-09 11:37 CNCERT國家互聯網應急中心 2016-11-04 23:43 CNCERT國家互聯網應急中心 2016-10-29 09:50 CNCERT國家互聯網應急中心 2016-10-29 12:02 CNCERT國家互聯網應急中心 2016-10-26 18:27 CNNVD中國國家信息安全漏洞庫 2016-10-22 13:33 CNCERT國家互聯網應急中心 2016-10-22 21:20 CNCERT國家互聯網應急中心 2016-10-19 17:32 鑰匙██雲██??██雲██意用戶密碼重置漏洞2016-10-20 14:33 CNCERT國家互聯網應急中心 2016-10-17 16:00 CNCERT國家互聯網應急中心 2016-10-16 19:49 CNCERT國家互聯網應急中心 2016-10-14 11:52 CNNVD中國國家信息安全漏洞庫 2016-10-12 22:28 CNCERT國家互聯網應急中心 2016-10-10 23:46 CNCERT國家互聯網應急中心 2016-10-10 00:19 CNCERT國家互聯網應急中心 2016-10-09 09:15 CNCERT國家互聯網應急中心 2016-09-29 14:48 網██雲██ 網██雲██一處mongodb未授權訪問泄露15w用戶註冊數據2016-09-29 18:31 CNCERT國家互聯網應急中心 2016-09-28 11:50 深圳██雲██技有限公司 深圳██雲██技有限公司某平台弱口令2016-09-24 10:19 北京惠██雲██服科技有限公司J 北京惠██雲██服科技有限公司JAVA RMI遠程命令執行漏洞2016-09-21 23:01 CNNVD中國國家信息安全漏洞庫 2016-09-20 12:23 CNNVD中國國家信息安全漏洞庫 2016-09-18 10:56 華██雲██ 華██雲██敏感信息泄露2016-09-12 22:09 CNNVD中國國家信息安全漏洞庫 2016-09-11 18:57 CNCERT國家互聯網應急中心 2016-08-18 11:11 親加通██雲██??通██雲██站存在注入2016-08-18 10:31 CNCERT國家互聯網應急中心 2016-08-16 23:24 陽██雲██??█雲██監控系統配置不當(Getshell)2016-08-09 14:12 CNCERT國家互聯網應急中心 2016-08-04 21:39 CNCERT國家互聯網應急中心 2016-08-02 15:43 微██雲██??█雲██系統後台弱口令大量信息暴露2016-08-01 14:17 微██雲██??█雲██在注入漏洞2016-07-29 19:56 微██雲██??█雲██用型微信投票系統SQL注入2016-07-28 11:05 CNNVD中國國家信息安全漏洞庫 2016-07-09 23:50 CNCERT國家互聯網應急中心 2016-06-13 19:38 ██雲商 ██雲商SQL注入漏洞導致資料庫泄露可shell2016-05-24 10:13 腳██雲██2016-05-07 18:21 ██雲██點 ██雲██點計算公司監控服務隨意登陸2016-05-05 19:25 健██雲██??█雲██處存在命令執行漏洞,泄漏幾十萬用戶信息2016-04-22 11:51 一██雲██ 一██雲██getshell,泄漏全站數據2016-04-15 11:03 CNCERT國家互聯網應急中心 2016-04-10 17:16 CNCERT國家互聯網應急中心 2016-04-02 22:07 CNCERT國家互聯網應急中心 2016-03-24 20:44 小██雲██Т?█雲██系統sql注入可脫褲2015-11-25 15:32 ██廠商 2015-10-27 16:11 奧██雲██? ██雲██大會直播提供商】奧██雲██部代碼含資料庫敏感信息均可打包下載2015-09-25 00:40 輕██雲██??█雲██台設計缺陷可致全站用戶敏感信息泄露2015-09-10 14:38 CNCERT國家互聯網應急中心 2015-09-02 22:30 CNNVD中國國家信息安全漏洞庫 2015-04-16 17:50██雲██網路 某建站存在SQL注入漏洞2015-02-14 10:01██雲██穎??雲██訊某漏洞可GETSHELL2017-05-25 10:05 53KF_53快服企██雲██件_企業在線客服系統軟體專家-53客服 2017-05-11 08:46 ██市██公██雲██台 某市██公██雲██台存在sql注入2017-04-28 22:03 金牛教██雲██務平台 金牛教██雲██務平台某站點存在命令執行漏洞2017-04-23 17:12 外██雲██ 外██雲██存在漏洞/可執行命令2017-04-14 12:18 浙江移██雲██訊 ████分公司網站存在sql注入漏洞2016-11-23 19:21 ██雲██動 2016-11-16 23:21 歡██雲██ 2016-06-23 17:46 ██金██雲██絡技術有限公司 金██雲██??轉cookies-xss2016-06-23 ██雲██處邏輯錯誤導致越權2016-06-13 Ruby██主站及Ruby██資料庫和配置文件泄漏(導致其阿██雲██儲服務許可權被控制)2016-06-06 智慧醫療安全██雲██醫療主站SQL注入/DBA許可權/涉及近500W+用戶數據2016-05-23 ██雲██e一個缺陷導致可以驗證郵箱是否註冊2016-05-05 ██盤文件讀取/SSRF2016-05-05 七██雲██儲遠程命令執行漏洞影響圖片處理伺服器2016-05-05 騰████雲██程命令執行2016-05-05 wifi安全之周██雲██處SQL注入(涉及580萬+手機號/mac地址/操作系統類型等)2016-05-05 百██雲██文件讀取/SSRF2016-04-28 盛██雲██二級域名分站存在SQL注射漏洞(數██雲██用附POC)2016-04-24 某第三方██管██雲██台漏洞可Getshell(涉及伺服器數GB文件涉及運單/發貨/收貨人地址/聯繫信息)2016-04-22 杭██市某██雲██告系統泄露病人報告(影響X光/B超結果等)2016-04-20 醫療安全██雲██醫療某漏洞500萬客戶信息泄露(姓名手機身份證地址)2016-04-20██雲██醫療另一處設計缺陷可獲取900w挂號記錄(姓名手機身份證)2016-04-19██雲██醫療某站漏洞涉及900萬客戶信息(姓名手機身份證外送SQL注入)2016-04-18 ██雲██戶中心存在SQL注入漏洞2016-04-15 互██雲██開放伺服器未授權訪問導致命令執行/涉及大量敏感資料及項目源碼/可探測內網大量主機2016-04-15 極████雲██台任意用戶密碼修改2016-04-14 中████雲██務系統存在漏洞可Getshell(泄露文件/資料庫涉及業務信息)2016-04-13 上██市██雲██某處SQL注入2016-04-13 七██雲██算網路教育平台漏洞(設計幾十個站庫/大量用戶信息2016-04-12 不小心進了██付██雲██家後台(千萬級流水賬)2016-04-11██雲██某系統信息泄露導致內網陷落危害到大部分合作廠商2016-04-06 百██雲██速備案系統存在mssql注入漏洞可登錄後台(疑測試中系統)2016-04-06 ██雲██頻直播平台存在SQL注入漏洞2016-04-05 oppo定製的百██雲██戶文件同步██雲██可泄漏(私人照片/文件等)2016-04-05 網██科技慧██雲██全平台再次秒改任意用戶密碼(官網帳號演示)2016-04-04 網██科技付██雲██務授權繞過可免費獲取付██雲██務(各大廠商福利呀)2016-04-01 網██科技慧██雲██全平台秒改任意用戶密碼(官網帳號新浪360躺槍)2016-04-01 天地██雲██據庫弱口令致6k+信息泄露2016-04-01 金██雲██務一處注入(後台可是GO語言寫的哦)2016-03-31 公██雲██全之網██雲██儲重要敏感信息泄露(包含用戶賬號密碼)2016-03-28 對██雲██商██雲██tedStack的一次滲透測試—可突破網路邊界漫遊內網2016-03-25 ██通信某站點存在命令執行漏洞導致getshell(部分用戶信息泄露)2016-03-25 IDC安全之犀██雲██服安全意識不足導致信息泄露2016-03-24 軟██力旗██雲██算平台██雲██任意密碼重置&Getshell2016-03-24 軟██力旗██雲██算平台██雲██意賬戶登陸影響82W用戶2016-03-17 中██雲██台SQL注入涉及北京地區數十萬用戶身份信息2016-03-16 中國██股份有限公司某內部██雲██注入漏洞2016-03-15 海██雲██部郵箱一枚/已進icloud威脅內部人員安全2016-03-14 網██雲██樂可劫持登陸任意賬號涉及賬戶信息(網██雲██樂官方賬號為例)2016-03-14 中國國██股份有限公司某██雲██注入漏洞一枚2016-03-14 ██Android客戶端配置不當泄露阿██雲██登錄憑證2016-03-10 ██雲██系統未授權訪問導致命令執行2016-03-10 安全漏洞掃██雲██台任意註冊賬號/找回密碼2016-03-09 神器而已之██某站配置不當泄露阿██雲██登錄憑證2016-03-09 安██漏洞掃██雲██台可直接 getshell2016-03-05 樂████雲██碼系統多個用戶弱口令已入後台2016-03-03 中國██通健██雲██據庫信息泄露(數十萬患者電子病歷包括姓名/身份證/地址/電話等泄露)2016-03-03 某通██雲██系統越權操作2016-02-28██雲██全之聯通自主研發██雲██站資料庫信息泄露(數十萬用戶信息泄露,包括姓名/電話/地址/身份等)2016-02-25 百██雲██家PC版介面存在未授權訪問可DoS2016-02-21 樂██某S██雲██理後台未授權訪問2016-02-21 有██雲██記存儲型XSS利用技巧(自動觸發/所有瀏覽器通用)2016-02-21 ██通信某平台多處SQL注入2016-02-19 紅██雲██某系統未授權訪問/多源碼泄露/命令執行/影響內網2016-02-18 靈██雲██系統未授權訪問導致多個源碼泄露/執行命令/影響內網2016-02-17 完美Byp██雲██最新版(V1.6.153)SQL注入防護規則(可UNION)2016-02-16 ██雲██技某街道社區APP後台配置不當泄露8W居民身份證等信息2016-02-03 ██雲██處root許可權任意文件讀取2016-01-29 某安全管理(審計)系統兩處任意SQL執行&命令執行(無需登錄涉及████雲██眾多安全廠商)2016-01-28 某安全管理(審計)系統存在SQL注入(無需登錄涉及████雲██眾多安全廠商)2016-01-26 某安全管理(審計)系統存在SQL注入(無需登錄涉及████雲██眾多安全廠商)2016-01-25 蘇██線上業務xss漏洞進後台可給任意賬號充值金額購██雲██務2016-01-20 搜██雲██平台找回密碼功設計不當可任意重置他人密碼2016-01-19 ██雲██區某SQL注入2016-01-19 某網上行為(審計)設備系統通用型getshell(無需登錄涉及████雲██廠商)2016-01-16 搜██雲██平台敏感信息泄露(padding oracle漏洞實戰)2016-01-15 搜██雲██平台許可權控制不嚴可查看任意用戶信息2016-01-14 ██通信某處SQL注入(order by注入/附驗證腳本)2016-01-13 ██雲██處存儲型XSS2016-01-12 某市██電██雲██務漏洞(可對全市電力監控/大量居民電力信息泄露/可對全市情況實時監測)2016-01-08 樂██雲██個資料庫密碼泄露2016-01-07 ██雲██i路由器默認webserver配置不當漏洞可入內網2016-01-07 公██雲██全之網███雲██務設計不當導致一些內部API泄露2016-01-03 美██雲██務主站某漏洞涉及大量用戶信息並可控██雲██機2016-01-03 億██雲██個漏洞(涉及某眾測合同+Mail+JIRA+阿██雲██??█雲██儲等敏感信息)

一年半不到的時間,僅公開標題的就有360+條漏洞記錄,其中不乏top 10以內的公有雲,從實際項目來看也包含私有雲,只是點出了用戶單位但沒有直指私有雲建設廠商(筆者也中了槍,反省)。業務系統的範圍不限於政務、醫療、教育、互聯網……。關注這一塊的白帽們看到前面的日期應該能回想起其中一些頗有意思的漏洞。

只通過標題無法明確知道漏洞的具體內容,但對漏洞類型能有個大抵揣測。開發者、架構師、運維運營人員對軟體、服務的不當編碼、設計與使用,這些仍然是大頭。 現在各廠商在設計架構的時候越來越注重IaaS層的資源隔離,當一個租戶被攻擊時,不會對其它租戶造成影響,但 PaaS、SaaS層的入侵往往仍能獲取大量的用戶數據,危險性最大的當然是存放用戶token的資料庫,將攻擊範圍瞬間鋪開了來。

擁有足夠安全支撐的企業確實好一些,但現在的行業內,尤其是私有雲、行業雲SaaS提供者等,和安全的脫節已經很明顯,一方面原因是存在 與過去IT架構中的安全服務組件的集成成本、架構阻力,從本專欄之前的一篇文章 《雲環境下的安全服務架構 》可見一斑;另一方面是用戶自身出於敏捷、成本等因素對安全的忽視或對雲安全嚴峻形勢的不了解,而讓不少雲廠商們也覺得沒必要投入相應的設計考量。畢竟客戶都無所謂,多一事不如少一事。

當然安全行業的水也深,特別是在官字型大小的領域和客戶場景下,傳統安全廠商將客戶渠道看得無比重要,就連廠商內部賣盒子的部門和提供雲安全服務的部門都有一定的競爭,更不用說和眾多的雲廠商分享利潤了;比起將安全能力在雲框架內深度集成,寧可將雲和安全按以前IT業務+安全 「1+1」 的方式建設。這一點不得不說大廠、公有雲做得好多了,真正意義上在踐行著 「合作共贏、營造生態、發掘價值」 等。

舉兩個參與過的私有雲例子,項目A客戶雲平台基礎架構為VMware,項目B客戶雲平台基礎架構為OpenStack+KVM,兩者都部署了如物理防火牆、IPS、漏掃、WAF等系統,看似架構完善,固若金湯。但在實際測試中,我們發現A、B客戶都使用了第三方雲管平台(CMP),後台與基礎架構間進行了API與DB層面的集成,而身份授權處理得粗糙——一個賬戶管所有服務調用,在通過某一雲管平台用戶登錄後,嘗試組件漏洞(如處理上傳後圖片的ImageMagick命令執行、struts2系列等)入侵雲管平台後,通過這個VMware vCenter賬戶或 OpenStack admin賬戶獲得了整個平台的大量信息,甚至去通過API操作其它租戶的資產。

這就是「不成熟」的集成帶來潛在風險的典型案例,上述例子甚至不能通過簡單的路線隔離來解決,因為它利用的正是CMP與底層服務API間的正常業務通路,而底層API肯定是專註於功能的,早已將安全能力託付給了專註身份驗證的組件/模塊。

從漏洞黑板報中看出,公有雲基本都有自己的SRC,其意義不僅在於對白帽提交漏洞的精準定位與快速響應,更在於對用戶雲資產的關聯保護,例如:某用戶的雲上系統存在可未授權訪問的服務,非redis、建站程序admin這樣可被雲廠商自己雲安全服務檢測到的,被白帽發現了,在第一時間聯繫不到用戶的情況下,通過IP、備案或網站底邊欄的文字內容等信息知道了是在某家公有雲上的業務,便可通過雲廠商SRC聯繫雲廠商再轉交用戶。所以,還沒建SRC的公有雲們,抓緊咯。

私有雲在不為客戶建設SRC的情況下,可以提醒用戶在補天、漏洞盒子這樣的平台建立SRC,或對用戶業務系統在公有SRC上的披露信息進行監控,及時推送給用戶,至少體現雲建設廠商對用戶的安全關注。

前面爬取漏洞平台漏洞標題的代碼很簡單,在:github.com/opencloudsha

隨著雲計算、IoT的發展,以前專註於傳統網路安全的攻擊者也會補充越來越多的雲知識、熟悉越來越多的雲場景, 雲安全因而一定會面臨著攻擊者更多新奇的思路。

微信:

這兒分享雲計算相關的原創技術實踐和項目經驗,還有各種在雲、雲安全方面搞出的大新聞、趣事兒。
推薦閱讀:

如何評價「中國互聯網安全廠商在漏洞挖掘及防禦方面的地位舉足輕重」這句話?
關於double free的問題?
做安全研究挖不到漏洞,很迷惘?

TAG:云安全 | 漏洞挖掘 | 云计算 |