DeleteImageForConvergentReplicationInternal

DeleteTagForConvergentReplicationInternal

PutImageForConvergentReplicationInternal

PutLayerForConvergentReplicationInternal

他们随后利用 Amazon Cognito GetCredentialsForIdentity 接口获取到临时凭证、使用该凭证获取到访问这些 API 的内部权限，并通过对网页 Javascript 文件中含有的 API 请求结构的逆向分析，最终成功构造出了对应的请求体，使用这些接口获得了对 ECR 任意镜像的读写、删除权限。

ECR 中下载量最高的前六个容器镜像总下载量超过 130 亿次。

约有 26% 的 Kubernets 集群中至少有一个 pod 从 ECR 中提取镜像，可谓是云上非常关键的基础设施。
恶意攻击者可利用该漏洞在基础镜像中投毒植入后门，进行典型的供应链攻击，进而进一步控制所有使用镜像库的下游用户系统，造成的后果只受到攻击者目的和想象力的限制。

这个漏洞虽然本质上是一个典型的 Web 越权和接口对外暴露漏洞，并不太“硬核”。但如果发现者对 AWS 平台认证和业务机制有深刻了解，那么就可能利用该漏洞在云原生时代造成巨大的影响。这揭露了相关供应链的风险，值得我们关注。

云计算兴起的时候，专家就对云安全进行了很多预测和分析。

其中，非常典型的安全隐患是，攻击者在自己租的虚拟机内，通过漏洞打穿虚拟平台，从而获取其他虚拟机的控制权。

现在很多 pwn 比赛的虚拟机项目，也都基于这个场景；在 2022 年的 GeekPwn 比赛上，有选手成功实现虚拟机逃逸，拿到了全场最高分。

但是，随着云生态的不断发展，我们实际看到的云攻击，很少有虚拟机穿越攻击，反而在云的管理接口上，出现了很大的问题。

云逃逸不一定只是硬核的虚拟机漏洞，也可能是 Déjà vu 的剑宗重现；Neo 从 Matrix 中逃脱不一定要再跟机器章鱼大战三百回合，而可以直接搞定 Keymaker。

如果云安全只局限于“剑宗（web 安全）与“气宗（bin 安全）”之争 ，终将陷入被动局面。也许更全面的考量与发展，才是成为“武林高手”的秘诀。

参  考：

[1] https://aws.amazon.com/security/security-bulletins/AWS-2022-010/

[2] https://blog.lightspin.io/aws-ecr-public-vulnerability

[3] https://slsa.dev/

下篇预告

只是一个普普通通的特性，完全符合设计要求和标准规定。

可当这个特性与系统其他部分组合起来成为整体时，却成为了安全问题的导火索。

这种情况发生在非安全公司的产品上，比较常见且可以理解。

但是发生在网络安全公司号称可以保护安全的设备中，却很不应该。

请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第八篇：

扫码进 DarkNavy 官方交流群
你的洞见  群里见