《网络空间测绘年报·云上风险测绘篇》.docxVIP

网络空间测绘报告

?云上风险测绘篇

执行摘要 001

1 2022年重大公有云安全事件回顾 002

1.1简介 003

1.2知名密码管理软件LastPass遭网络攻击 003

1.3Wiz发现PostgreSQL漏洞，影响多家公有云厂商 004

1.4土耳其Pegasus航空公司泄露6.5TB敏感数据 006

1.5云服务提供商Rackspace公司遭遇勒索软件攻击 009

1.6微软被曝泄露65000多个实体的敏感数据 012

1.7小结 013

2 云上风险测绘专题分析 014

2.1简介 015

2.2对象存储服务风险案例分析 015

2.3公有云凭证泄露风险案例分析 019

2.4云原生服务风险测绘分析 022

2.5源码仓库暴露测绘分析 032

2.6小结 037

3 总结与展望 038

参考文献 040

观点1 015

目前对象存储资产通常处于不安全状态，虽然公有云提供商提供了安全的策略，

但是由于用户的错误配置等原因，很多的存储桶存储资产可以公开访问，这也是许多数据泄露事件的原因。

观点2 019

GitGuardian报告指出，2022年超过1000万个泄露的硬编码凭证被推送到GitHub上，比2021年增加了约67%，这些硬编码凭证中很大一部分具有公司云服务资源的访问权限，由此可见，潜伏在源代码中的硬编码凭证是影响云上数据安全的重要因素之一。及时发现并消除云凭证的泄露隐患，是保证云上数据安全必不可少的环节。

观点3 022

近年来，随着云原生概念的兴起，互联网上暴露的云原生服务越来越多，大量企事业单位、个人用户已逐步将各自业务以云原生的部署形式上云，这一方面说明了云原生正在大规模落地及普及，另一方面，逐渐增多的云原生服务也为攻击者提供了更多的攻击面，通过测绘技术，我们可以进一步对云原生资产及风险进行态势感知，从而先于攻击者发现风险。

观点4 033

Gogs、Gitea、Gitblit等自建托管代码仓库的安全性往往容易被人忽略，但我们发现该类仓库中存放着大量重要机构相关系统的源代码，且此类风险事件大多数是由项目外包开发而引起的。这些安全问题若被有心者利用，可能会造成非常大的影响，因此我们应对外包开发安全项目进行有效管控，避免重要源代码遭到泄露。

观察1 015

我们统计了2022年全球数据泄露事件，其中因对象存储泄露事件就达到了10多

起。泄露原因包括用户错误配置、凭证泄露、公有云提供商的错误配置等。2022年6

月土耳其航空公司飞马航空因对象存储服务的错误配置导致泄漏量了2300万，总计6.5TB的数据，包含大量的敏感数据。2022年10月，因微软配置错误的对象存储，更是泄露了全球超过65000家企业或组织的数据。可见存储桶泄露导致隐私泄露风险之大，应引起足够重视。

观察2 023

Etcd资产暴露数量在国内10377个，未授权访问漏洞以及DDoS漏洞占资产脆弱性占比较高；Harbor资产暴露数量2557个，有近400个资产被曝出含有CVE-2020-13794漏洞，319个资产被曝出含有CVE-2020-29662漏洞,179个资产被曝出含有CVE-2019-19030漏洞，总和约占所有资产数的35%。ApacheAPISIX资产暴露数量1126个，端口主要分布在9000、443、80，未授权访问漏洞占比最高，约占资产总数60%。

观察3 032

国内大量Gogs、Gitea、Gitblit的自建托管代码仓库存在着未授权访问漏洞，匿名者可以直接访问并查看仓库中的源代码信息。我们发现此类安全问题大部分和软件开发商相关，软件开发商给甲方去建设信息化系统时，忽略掉了源代码仓库的安全问题。

01

重大公有云安

全事件回顾

PAGE

PAGE003

PAGE

PAGE004

1.1 简介

2022年，云安全领域发生了许多重大事件。这些事件的发生提醒我们，云安全已经成为互联网时代的重要课题，在本章中，我们将详细介绍包括LastPass遭受网络攻击事件、影响多家公有云厂商的PostgreSQL漏洞、土耳其Pegasus航空公司泄露6.5TB敏感数据事件、云服务提供商Rackspace遭遇勒索软件攻击事件和微软65000项数据泄露事件的若干典型事件的背景、原因和启示，以期为读者提供有益的参