安全厂商发现AWS容器服务一项组件的重大漏洞,可被用来发动拒绝服务(DoS)、外泄资料、网络横向移动等多种形态攻击。AWS已经在上个月将之修补。
AWS容器注册表(Amazon Elastic Container Registry,ECR)是AWS的受管Docker容器注册表,可供开发人员存放、共享及部署容器映像。ECR Public是开放给外部人士共享的镜像文件存储库,其中Public Gallery则是一个公共门户网站,列出所有托管在ECR Public的公开存储库。许多知名公司和项目、服务像是NGINX、Ubuntu、Amazon Linux、HashCorp Consul都在此发布镜像文件给外部用户。
安全厂商Lightspin在ECR Public Gallery的主要JavaScript文件中发现一组未记载的API actions,可用来添加、删除、变更容器镜像文件。这些API actions虽然未记载,却是有效的,这意味着可为找到这些API的人所用。研究人员指出,该漏洞可让攻击者删除其他AWS账号名下的ECR镜像文件,或上传、添加恶意镜像文件,进而发动拒绝服务、资料外泄、网络横向移动、权限扩张、资料破坏和其他多变量攻击路径。
研究人员在一次概念验证(PoC)中,成功撰写了一个Python脚本程序调用其中一个API action,并删除测试用ECR Public上存储库的镜像文件。
安全厂商于11月15日向AWS通报这项漏洞,这家云计算大厂隔日就修补了漏洞。