从这两年的云计算行业安全黑板报来看看云安全现状
余波未平,暗潮又起的nsa武器攻击事件给整个IT业都带来了巨大的危机感。
这段时间也看到了各云厂商,绝大多数是提供公有云服务的,从基础设施虚拟化到容器微服务领域都有,纷纷强调了自家的安全能力。
其实,类似本次SAMBA漏洞的这种通用软件级漏洞得益于官方与行业内众多力量的聚集,预先防护与应急响应在云厂商处都尤为迅速。
而各家自己开发的应用/系统,如云管平台、用户接口、SaaS业务、为客户建设的私有云、细分领域内的云服务内容等的安全状况则没那么乐观。讲究敏捷的互联网业务模式,对近年扩张迅速的云计算行业同样提出了快速迭代的要求,业务与市场至上,安全同样不能忽视。以前讲传统安全的时候,说先除开大厂不谈,有的企业没有或有薄弱的安全支撑,稍好一点的请外部安全公司/团队进行安全评估、参与众测,更好一点的从需求开始贯彻SDL、定期攻防演练等等。但对云计算厂商而言,提供的云服务、云资产都是用户的业务命脉,如果不能提供应对各种场景的强大安全能力,考虑到安全木桶的每一个细节,如何能使用户放心地将业务上云呢。
尽管现在云上的安全责任应由云服务提供者与用户共同承担,如这周看到的某公有云厂商给出的用户等保测评指南,将责任划分写得很清楚。笔者也经历过云数据中心级的等保测评,看了这份指南不得不感慨一句真牛,真能为有资质测评需要的用户省不少心。
当然安全测评和实际面临的安全威胁间是有距离的,就不展开了,之后可能会专门写一篇那些和云计算有关的安全资质的文章。
因为私有SRC隐藏了不少信息,笔者只通过互联网可查的公开漏洞信息,对这两年和云有关的漏洞用 selenium 和 bs4 进行了简单爬取,既有专业的云服务提供者,也有不当/危险的云上业务场景。
重要:以下信息可直接通过补天平台、漏洞盒子和去年7.20前存在的那个它的公共查询功能查到。为了避免影响厂商利益,通过简单的正则做了mask。
2017-06-01 14:25:09██云██ 的一个逻辑漏洞
2017-05-26 15:19:57 上██七██信息技术有限公司 的一个信息泄露漏洞
2017-05-15 17:08:46 达██云██科技(北京)有限公司 的一个SQL注入漏洞
2017-05-11 14:58:32 ██易██云██科技有限公司 的一个XSS漏洞
2017-05-11 14:58:12 金颖ɢֈ云██家 的一个权限绕过漏洞
2017-05-03 15:04:03 移██云██站 的一个SQL注入漏洞
2017-04-24 10:08:03 上海外██云██金融服务有限公司 的一个命令执行漏洞
2017-04-05 19:16:17 科██软件 的一个SQL注入漏洞
2017-03-24 14:52:35 贵州电子商██云██Ť 个信息泄露漏洞
2017-03-21 15:58:57 ██智慧教██云██台 的一个命令执行漏洞
2017-03-08 11:57:13 ███信e██云██Ť 个命令执行漏洞
2017-03-08 11:25:07 中国教██云██Ť 个命令执行漏洞
2017-03-08 04:12:21 http://www.eqi██.cn 的一个命令执行漏洞
2017-03-08 04:03:40 盈科██云██技 的一个命令执行漏洞
2017-03-08 03:43:53 ██云██技 的一个命令执行漏洞
2017-03-08 01:47:07 优██云██合教育公共服务平台 的一个命令执行漏洞
2017-03-08 00:25:32 森██云██Ť 个命令执行漏洞
2017-03-07 23:42:24 ██综合教██云██台 的一个命令执行漏洞
2017-03-02 15:21:27 乐████TV 的一个权限绕过漏洞
2017-02-17 11:00:02 健██云██务平台 的一个文件上传漏洞
2017-02-16 11:30:02 广██省██大██云██分厅 的一个代码执行漏洞
2017-02-14 14:00:02██云██叫中心 的一个弱口令漏洞
2017-02-14 14:00:02██云██柜客房全网销售系统 的一个弱口令漏洞
2017-01-18 16:30:02 合肥教██云██台 的一个任意文件操作漏洞
2017-01-18 15:00:02 安宁市██医██ 的一个弱口令漏洞
2017-01-10 14:30:02 流██口信息服务平台 的一个弱口令漏洞
2016-12-27 14:00:02 ██云██Ť 个入侵事件漏洞
2016-12-16 11:00:02 吉██省██市纪██ 的一个命令执行漏洞
2016-12-08 18:00:08██云██端官网 的一个命令执行漏洞
2016-12-02 11:00:02 机██云██ ý硬件自助开发██云██务平台 的一个弱口令漏洞
2016-11-29 12:00:02 ██市体████ 的一个信息泄露漏洞
2016-11-24 16:30:01 苏████云██络科技有限公司 的一个SQL注入漏洞
2016-11-19 11:30:17 宏████ 的一个弱口令漏洞
2016-11-15 17:00:02██云██财经 的一个入侵事件漏洞
2016-11-10 11:00:01 ██云██ 的一个存在后门漏洞
2016-11-04 16:00:03██云██网 的一个命令执行漏洞
2016-10-25 16:30:02 中国电████公司 的一个弱口令漏洞
2016-10-13 12:00:02 ██市████行业协会 的一个SQL注入漏洞
2016-10-11 16:44:02 唯██云██控 的一个命令执行漏洞
2016-10-09 13:00:01██云██OA系统存 的一个XSS漏洞
2016-10-08 14:00:01 中██云██联 的一个SQL注入漏洞
2016-10-03 16:00:02██云██关-一键式智能通关服务平台 的一个SQL注入漏洞
2016-09-08 16:00:01 北██云██旗信息技术有限公司 的一个SQL注入漏洞
2016-09-05 10:00:01 优██云██合教育公共服务平台 的一个SQL注入漏洞
2016-09-04 16:00:02 天██云██Ť 个XSS漏洞
2016-09-02 15:00:01 微████ 的一个弱口令漏洞
2016-09-02 14:30:01 ████科技有限公司 的一个信息泄露漏洞
2016-09-02 14:30:01 中国电████ 的一个信息泄露漏洞
2016-09-02 11:00:02 cnni██ 的一个SQL注入漏洞
2016-09-01 10:30:01██云██ 的一个信息泄露漏洞
2016-08-30 14:30:02 ██云██用网 的一个命令执行漏洞
2016-08-26 12:00:02 青██云██互动网络有限公司 的一个SQL注入漏洞
2016-08-19 16:43:43 中国科██数██云██Ť 个SQL注入漏洞
2016-08-12 16:50:02 天██云██ 的一个逻辑漏洞
2016-08-11 11:00:02 www.yn████.org 的一个文件上传漏洞
2016-07-28 17:50:01 http://yn.wen████.com 的一个信息泄露漏洞
2016-07-28 13:50:01 乔████ 的一个弱口令漏洞
2016-07-26 11:50:02 七██云██Ť 个弱口令漏洞
2016-07-26 10:50:02██云██车中心 的一个SQL注入漏洞
2016-07-25 15:50:02 ██云██ 的一个SQL注入漏洞
2016-07-24 12:50:01 链██云██ 的一个弱口令漏洞
2016-07-22 00:50:01 ██天██████科技股份有限公司 的一个信息泄露漏洞
2016-07-20 19:50:01██云██平台 的一个SQL注入漏洞
2016-07-19 16:50:01 北██信██云██机 的一个信息泄露漏洞
2016-07-19 12:50:02██云██ 的一个逻辑漏洞
2016-07-14 14:50:02 ██████网络科技股份有限公司 的一个SQL注入漏洞
2016-07-13 15:50:02 周██云██Ť 个弱口令漏洞
2016-07-13 10:50:02 ██外服██云██ 的一个命令执行漏洞
2016-07-13 10:50:02 ██健██云██据中心 的一个SQL注入漏洞
2016-07-12 11:50:02 周██云██Ť 个弱口令漏洞
2016-07-11 16:00:02██云██微动科技有限公司 的一个XSS漏洞
2016-07-11 12:50:01 徐██云██院 的一个命令执行漏洞
2016-07-08 16:50:02 阿██云██Ť 个逻辑漏洞
2016-07-01 16:50:02 小██云██台 的一个命令执行漏洞
2016-06-29 16:50:01 前██云██作平台 的一个弱口令漏洞
2016-06-29 14:50:02██云██支付 的一个命令执行漏洞
2016-06-29 10:00:02 智能家██云██台 的一个命令执行漏洞
2016-06-28 18:50:02 ██市██云██息技术有限公司 的一个信息泄露漏洞
2016-06-28 16:50:02 ██教育资██云██台 的一个SQL注入漏洞
2016-06-27 12:00:01 Tes██云██ 的一个命令执行漏洞
2016-06-21 14:00:01 南██云██通讯科技有限公司 的一个信息泄露漏洞
2016-06-20 10:00:03 ██时████网络通信有限公司 的一个信息泄露漏洞
2016-06-18 15:50:02 中██云██APP 的一个SQL注入漏洞
2016-06-15 09:50:02 1████ 的一个SQL注入漏洞
2016-06-13 12:00:02██云██通 的一个弱口令漏洞
2016-06-10 10:50:02 健██云██务平台 的一个命令执行漏洞
2016-06-08 15:50:01 ██云██Ť 个SQL注入漏洞
2016-06-07 12:50:01 重██云██医疗科技有限公司 的一个信息泄露漏洞
2016-06-07 11:00:02 傲██云██览器 的一个信息泄露漏洞
2016-06-06 18:50:02 深圳██云██网络技术有限公司 的一个逻辑漏洞
2016-06-06 15:50:01 ██云██算机科技 的一个解析漏洞漏洞
2016-06-01 14:50:02 广████云██息科技 的一个入侵事件漏洞
2016-05-28 11:50:02 世██联 的一个代码执行漏洞
2016-05-27 12:00:01 架██云██Ť 个弱口令漏洞
2016-05-27 11:50:02 阿██云██Ť 个信息泄露漏洞
2016-05-26 15:50:02 青██云██ 的一个SQL注入漏洞
2016-05-17 11:50:02 娄底教██云██台 的一个入侵事件漏洞
2016-05-12 23:50:02 长██云██电子商务有限公司 的一个信息泄露漏洞
2016-05-08 13:50:02 ████股份有限公司 的一个信息泄露漏洞
2016-05-06 16:50:02 其██ 的一个入侵事件漏洞
2016-05-06 11:50:01 ██ 的一个信息泄露漏洞
2016-05-05 12:00:01 ██云██技 的一个命令执行漏洞
2016-04-30 10:50:01 72██ 的一个SQL注入漏洞
2016-04-29 12:50:02 睿██云██Ť 个弱口令漏洞
2016-04-27 14:42:48 72██ 的一个SQL注入漏洞
2016-04-26 17:50:01 学██云██Ť 个信息泄露漏洞
2016-04-22 17:00:01 ██云██Ť 个命令执行漏洞
2016-04-20 18:50:01 ██云██Ť 个XSS漏洞
2016-04-13 10:50:02 济源市教██云██台 的一个信息泄露漏洞
2016-04-08 23:50:02 中国████科学数据中心 的一个弱口令漏洞
2016-04-05 15:50:02 上██云██互联网金融信息服务有限公司 的一个信息泄露漏洞
2016-03-27 15:50:02██云██网络科技有限公司 的一个SQL注入漏洞
2016-03-17 15:50:01 滨██"安██云██¦o平台 的一个入侵事件漏洞
2016-03-17 15:37:02 上██云██科技 的一个弱口令漏洞
2016-03-17 15:36:48 东██通 的一个弱口令漏洞
2016-03-10 10:50:01 CloudNM████科技 的一个弱口令漏洞
2016-02-28 13:50:01 彩██云██Ť 个弱口令漏洞
2016-02-23 18:50:01 湘██云██航及推送平台 的一个弱口令漏洞
2016-02-11 13:50:01 奥██云██Ť 个信息泄露漏洞
2016-02-01 15:50:01██云██电子政务一体化网站 的一个命令执行漏洞
2016-01-26 18:50:01 惠██云██Ť 个逻辑漏洞
2016-01-26 14:00:01 ██云██Ť 个SQL注入漏洞
2016-01-24 13:50:01 ██████盾科技有限公司 的一个文件包含漏洞
2016-01-22 16:41:45 ████讯软件有限公司 的一个弱口令漏洞
2016-01-19 17:55:44 腾████ 的一个权限绕过漏洞
2016-01-13 19:50:01██云██配 的一个弱口令漏洞
2016-01-13 19:03:03██云██算发展与政策论坛 的一个代码执行漏洞
2016-01-08 16:50:01 ██云██ 的一个信息泄露漏洞
2016-01-04 13:50:01 ██市前██云██互联网金融服务有限公司 的一个SQL注入漏洞
2016-01-02 17:00:02██云██堂 的一个XSS漏洞
2017-04-19 22:54 中██云██
2017-04-19 22:14 中██云██ֈ█云██意手机注册用户密码重置
2017-04-16 15:05 中██腾██云██ΧǑ腾██云██站存在命令执行漏洞
2017-04-15 11:22 CNCERT国家互联网应急中心
2017-04-13 22:39 CNCERT国家互联网应急中心
2017-04-05 10:43 CNCERT国家互联网应急中心
2017-03-30 00:15██云██微██
2017-04-02 22:20 CNCERT国家互联网应急中心
2017-04-02 21:28 CNCERT国家互联网应急中心
2017-04-01 13:32 CNCERT国家互联网应急中心
2017-04-01 13:27 CNCERT国家互联网应急中心
2017-03-29 23:34 CNCERT国家互联网应急中心
2017-03-29 20:31 CNCERT国家互联网应急中心
2017-03-29 11:28 CNCERT国家互联网应急中心
2017-03-28 23:38 CNCERT国家互联网应急中心
2017-04-19 22:54 中██云██
2017-04-19 22:14 中██云██ֈ█云██意手机注册用户密码重置
2017-04-16 15:05 中科腾██云██ΧǑ腾██云██站存在命令执行漏洞
2017-04-15 11:22 CNCERT国家互联网应急中心
2017-04-13 22:39 CNCERT国家互联网应急中心
2017-04-05 10:43 CNCERT国家互联网应急中心
2017-03-30 00:15██云██微店
2017-04-02 22:20 CNCERT国家互联网应急中心
2017-04-02 21:28 CNCERT国家互联网应急中心
2017-04-01 13:32 CNCERT国家互联网应急中心
2017-04-01 13:27 CNCERT国家互联网应急中心
2017-03-29 23:34 CNCERT国家互联网应急中心
2017-03-29 20:31 CNCERT国家互联网应急中心
2017-03-29 11:28 CNCERT国家互联网应急中心
2017-03-28 23:38 CNCERT国家互联网应急中心
2017-03-22 10:35 广██云██信息技术有限公司
2017-03-23 09:27 CNCERT国家互联网应急中心
2017-03-21 15:12██云████云██st2-046
2017-03-19 13:34 北██云██学科技有限公梖ɢֈ云██学官方平台struts2漏洞直接root权限
2017-03-18 23:07 CNCERT国家互联网应急中心
2017-03-16 18:46 Eye智██云██e智██云██频监控系统命令执行
2017-03-15 21:15 CNCERT国家互联网应急中心
2017-03-15 15:47 轻██云██ܢֈ█云██uts远程执行漏洞信息泄露
2017-03-15 00:49 CNCERT国家互联网应急中心
2017-03-11 15:56██云██传梖ɢֈ云██传媒存在st2-045漏洞
2017-03-10 15:14 CNCERT国家互联网应急中心
2017-03-09 22:29 CNCERT国家互联网应急中心
2017-03-09 17:12 CNCERT国家互联网应急中心
2017-03-09 17:03 CNCERT国家互联网应急中心
2017-03-14 20:16 CNCERT国家互联网应急中心
2017-03-09 01:41 CNCERT国家互联网应急中心
2017-03-09 00:15 CNCERT国家互联网应急中心
2017-03-11 17:14 CNCERT国家互联网应急中心
2017-03-08 12:51 CNCERT国家互联网应急中心
2017-03-08 10:16 广██云██信息技术有限公司
2017-03-08 08:32 CNCERT国家互联网应急中心
2017-03-08 00:44 CNCERT国家互联网应急中心
2017-03-07 20:57 CNCERT国家互联网应急中心
2017-03-07 16:51 CNCERT国家互联网应急中心
2017-03-07 15:41 广██云██信息技术有限公司
2017-03-09 23:19 CNCERT国家互联网应急中心
2017-03-07 19:45 广██云██信息技术有限公司
2017-03-10 09:49 CNCERT国家互联网应急中心
2017-03-08 15:15 CNCERT国家互联网应急中心
2017-03-07 18:37 ██云通信 ██邮箱struts2-045命令执行
2017-03-09 11:37 校██云██¢ֈ█云██系统struts2 s-045命令执行漏洞
2017-03-08 23:53 CNCERT国家互联网应急中心
2017-03-08 00:43 北京盈科██云██技有限公司 ██云██台命令执行
2017-03-09 15:45 CNCERT国家互联网应急中心
2017-03-07 20:13 CNCERT国家互联网应急中心
2017-03-05 10:35 南京雨██云██央电子商务有限公司 南京雨██云██央电子商务有限公司 某站存在sql注入 泄露用户42w条
2017-03-01 14:55 广██云██信息技术有限公司
2017-02-28 19:04 CNCERT国家互联网应急中心
2017-02-24 13:00 CNNVD中国国家信息安全漏洞库
2017-02-23 23:28██云██
2017-02-22 20:31 CNCERT国家互联网应急中心
2017-02-21 14:04██云██
2017-02-16 22:38 杭██云██网络科技有限公司 手游“咚嗒嗒”代码漏洞 可以达到PVP必胜等效果
2017-01-16 22:44 SH██
2017-01-09 18:37 北京新奥██云██科技有限公司 新奥██云██科技www站存在sql注入(root权限)
2017-01-11 22:10 CNCERT国家互联网应急中心
2017-01-07 20:26 中国领先的SaaS级智能营██云██台 中国领先的SaaS级智能营██云██台 某站svn配置不当源码泄露
2016-12-28 22:13 CNNVD中国国家信息安全漏洞库
2016-12-21 10:28 深圳██云██物流有限公司
2016-12-19 21:40 金██软件
2016-12-20 13:18 CNCERT国家互联网应急中心
2016-12-11 11:30 CNCERT国家互联网应急中心
2016-12-09 09:57 CNCERT国家互联网应急中心
2016-12-09 15:24██云██
2016-12-12 11:25 CNCERT国家互联网应急中心
2016-12-08 21:30██云██在线学习平台
2016-11-30 10:34██云██端
2016-12-02 07:50 CNCERT国家互联网应急中心
2016-11-29 17:33 CNCERT国家互联网应急中心
2016-11-26 10:43 CNCERT国家互联网应急中心
2016-11-18 17:44 CNCERT国家互联网应急中心
2016-11-15 20:20██云██方
2016-11-15 14:57 深圳██云██保科技有限公司
2016-11-15 15:26 CNCERT国家互联网应急中心
2016-11-14 18:57 CNCERT国家互联网应急中心
2016-11-12 23:08 CNCERT国家互联网应急中心
2016-11-09 11:37 CNCERT国家互联网应急中心
2016-11-04 23:43 CNCERT国家互联网应急中心
2016-10-29 09:50 CNCERT国家互联网应急中心
2016-10-29 12:02 CNCERT国家互联网应急中心
2016-10-26 18:27 CNNVD中国国家信息安全漏洞库
2016-10-22 13:33 CNCERT国家互联网应急中心
2016-10-22 21:20 CNCERT国家互联网应急中心
2016-10-19 17:32 钥匙██云██ƥ̙██云██意用户密码重置漏洞
2016-10-20 14:33 CNCERT国家互联网应急中心
2016-10-17 16:00 CNCERT国家互联网应急中心
2016-10-16 19:49 CNCERT国家互联网应急中心
2016-10-14 11:52 CNNVD中国国家信息安全漏洞库
2016-10-12 22:28 CNCERT国家互联网应急中心
2016-10-10 23:46 CNCERT国家互联网应急中心
2016-10-10 00:19 CNCERT国家互联网应急中心
2016-10-09 09:15 CNCERT国家互联网应急中心
2016-09-29 14:48 网██云██ 网██云██一处mongodb未授权访问泄露15w用户注册数据
2016-09-29 18:31 CNCERT国家互联网应急中心
2016-09-28 11:50 深圳██云██技有限公司 深圳██云██技有限公司某平台弱口令
2016-09-24 10:19 北京惠██云██服科技有限公司J 北京惠██云██服科技有限公司JAVA RMI远程命令执行漏洞
2016-09-21 23:01 CNNVD中国国家信息安全漏洞库
2016-09-20 12:23 CNNVD中国国家信息安全漏洞库
2016-09-18 10:56 华██云██ 华██云██敏感信息泄露
2016-09-12 22:09 CNNVD中国国家信息安全漏洞库
2016-09-11 18:57 CNCERT国家互联网应急中心
2016-08-18 11:11 亲加通██云██ӥʠ通██云██站存在注入
2016-08-18 10:31 CNCERT国家互联网应急中心
2016-08-16 23:24 阳██云██Ԣֈ█云██监控系统配置不当(Getshell)
2016-08-09 14:12 CNCERT国家互联网应急中心
2016-08-04 21:39 CNCERT国家互联网应急中心
2016-08-02 15:43 微██云██Ϣֈ█云██系统后台弱口令大量信息暴露
2016-08-01 14:17 微██云██Ϣֈ█云██在注入漏洞
2016-07-29 19:56 微██云██Ϣֈ█云██用型微信投票系统SQL注入
2016-07-28 11:05 CNNVD中国国家信息安全漏洞库
2016-07-09 23:50 CNCERT国家互联网应急中心
2016-06-13 19:38 ██云商 ██云商SQL注入漏洞导致数据库泄露可shell
2016-05-24 10:13 脚██云██
2016-05-07 18:21 ██云██点 ██云██点计算公司监控服务随意登陆
2016-05-05 19:25 健██云██Ƣֈ█云██处存在命令执行漏洞,泄漏几十万用户信息
2016-04-22 11:51 一██云██ 一██云██getshell,泄漏全站数据
2016-04-15 11:03 CNCERT国家互联网应急中心
2016-04-10 17:16 CNCERT国家互联网应急中心
2016-04-02 22:07 CNCERT国家互联网应急中心
2016-03-24 20:44 小██云██Тֈ█云██系统sql注入可脱裤
2015-11-25 15:32 ██厂商
2015-10-27 16:11 奥██云██ѩ ██云██大会直播提供商】奥██云██部代码含数据库敏感信息均可打包下载
2015-09-25 00:40 轻██云██ܢֈ█云██台设计缺陷可致全站用户敏感信息泄露
2015-09-10 14:38 CNCERT国家互联网应急中心
2015-09-02 22:30 CNNVD中国国家信息安全漏洞库
2015-04-16 17:50██云██网络 某建站存在SQL注入漏洞
2015-02-14 10:01██云██颖ɢֈ云██讯某漏洞可GETSHELL
2017-05-25 10:05 53KF_53快服企██云██件_企业在线客服系统软件专家-53客服
2017-05-11 08:46 ██市██公██云██台 某市██公██云██台存在sql注入
2017-04-28 22:03 金牛教██云██务平台 金牛教██云██务平台某站点存在命令执行漏洞
2017-04-23 17:12 外██云██ 外██云██存在漏洞/可执行命令
2017-04-14 12:18 浙江移██云██讯 ████分公司网站存在sql注入漏洞
2016-11-23 19:21 ██云██动
2016-11-16 23:21 欢██云██
2016-06-23 17:46 ██金██云██络技术有限公司 金██云██ѥĄ转cookies-xss
2016-06-23 ██云██处逻辑错误导致越权
2016-06-13 Ruby██主站及Ruby██数据库和配置文件泄漏(导致其阿██云██储服务权限被控制)
2016-06-06 智慧医疗安全██云██医疗主站SQL注入/DBA权限/涉及近500W+用户数据
2016-05-23 ██云██e一个缺陷导致可以验证邮箱是否注册
2016-05-05 ██盘文件读取/SSRF
2016-05-05 七██云██储远程命令执行漏洞影响图片处理服务器
2016-05-05 腾████云██程命令执行
2016-05-05 wifi安全之周██云██处SQL注入(涉及580万+手机号/mac地址/操作系统类型等)
2016-05-05 百██云██文件读取/SSRF
2016-04-28 盛██云██二级域名分站存在SQL注射漏洞(数██云██用附POC)
2016-04-24 某第三方██管██云██台漏洞可Getshell(涉及服务器数GB文件涉及运单/发货/收货人地址/联系信息)
2016-04-22 杭██市某██云██告系统泄露病人报告(影响X光/B超结果等)
2016-04-20 医疗安全██云██医疗某漏洞500万客户信息泄露(姓名\手机\身份证\地址)
2016-04-20██云██医疗另一处设计缺陷可获取900w挂号记录(姓名\手机\身份证)
2016-04-19██云██医疗某站漏洞涉及900万客户信息(姓名\手机\身份证\外送SQL注入)
2016-04-18 ██云██户中心存在SQL注入漏洞
2016-04-15 互██云██开放服务器未授权访问导致命令执行/涉及大量敏感资料及项目源码/可探测内网大量主机
2016-04-15 极████云██台任意用户密码修改
2016-04-14 中████云██务系统存在漏洞可Getshell(泄露文件/数据库涉及业务信息)
2016-04-13 上██市██云██某处SQL注入
2016-04-13 七██云██算网络教育平台漏洞(设计几十个站库/大量用户信息
2016-04-12 不小心进了██付██云██家后台(千万级流水账)
2016-04-11██云██某系统信息泄露导致内网陷落危害到大部分合作厂商
2016-04-06 百██云██速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)
2016-04-06 ██云██频直播平台存在SQL注入漏洞
2016-04-05 oppo定制的百██云██户文件同步██云██可泄漏(私人照片/文件等)
2016-04-05 网██科技慧██云██全平台再次秒改任意用户密码(官网帐号演示)
2016-04-04 网██科技付██云██务授权绕过可免费获取付██云██务(各大厂商福利呀)
2016-04-01 网██科技慧██云██全平台秒改任意用户密码(官网帐号\新浪\360躺枪)
2016-04-01 天地██云██据库弱口令致6k+信息泄露
2016-04-01 金██云██务一处注入(后台可是GO语言写的哦)
2016-03-31 公██云██全之网██云██储重要敏感信息泄露(包含用户账号密码)
2016-03-28 对██云██商██云██tedStack的一次渗透测试—可突破网络边界漫游内网
2016-03-25 ██通信某站点存在命令执行漏洞导致getshell(部分用户信息泄露)
2016-03-25 IDC安全之犀██云██服安全意识不足导致信息泄露
2016-03-24 软██力旗██云██算平台██云██任意密码重置&Getshell
2016-03-24 软██力旗██云██算平台██云██意账户登陆影响82W用户
2016-03-17 中██云██台SQL注入涉及北京地区数十万用户身份信息
2016-03-16 中国██股份有限公司某内部██云██注入漏洞
2016-03-15 海██云██部邮箱一枚/已进icloud威胁内部人员安全
2016-03-14 网██云██乐可劫持登陆任意账号涉及账户信息(网██云██乐官方账号为例)
2016-03-14 中国国██股份有限公司某██云██注入漏洞一枚
2016-03-14 ██Android客户端配置不当泄露阿██云██登录凭证
2016-03-10 ██云██系统未授权访问导致命令执行
2016-03-10 安全漏洞扫██云██台任意注册账号/找回密码
2016-03-09 神器而已之██某站配置不当泄露阿██云██登录凭证
2016-03-09 安██漏洞扫██云██台可直接 getshell
2016-03-05 乐████云██码系统多个用户弱口令已入后台
2016-03-03 中国██通健██云██据库信息泄露(数十万患者电子病历包括姓名/身份证/地址/电话等泄露)
2016-03-03 某通██云██系统越权操作
2016-02-28██云██全之联通自主研发██云██站数据库信息泄露(数十万用户信息泄露,包括姓名/电话/地址/身份等)
2016-02-25 百██云██家PC版接口存在未授权访问可DoS
2016-02-21 乐██某S██云██理后台未授权访问
2016-02-21 有██云██记存储型XSS利用技巧(自动触发/所有浏览器通用)
2016-02-21 ██通信某平台多处SQL注入
2016-02-19 红██云██某系统未授权访问/多源码泄露/命令执行/影响内网
2016-02-18 灵██云██系统未授权访问导致多个源码泄露/执行命令/影响内网
2016-02-17 完美Byp██云██最新版(V1.6.153)SQL注入防护规则(可UNION)
2016-02-16 ██云██技某街道社区APP后台配置不当泄露8W居民身份证等信息
2016-02-03 ██云██处root权限任意文件读取
2016-01-29 某安全管理(审计)系统两处任意SQL执行&命令执行(无需登录涉及████云██众多安全厂商)
2016-01-28 某安全管理(审计)系统存在SQL注入(无需登录涉及████云██众多安全厂商)
2016-01-26 某安全管理(审计)系统存在SQL注入(无需登录涉及████云██众多安全厂商)
2016-01-25 苏██线上业务xss漏洞进后台可给任意账号充值金额购██云██务
2016-01-20 搜██云██平台找回密码功设计不当可任意重置他人密码
2016-01-19 ██云██区某SQL注入
2016-01-19 某网上行为(审计)设备系统通用型getshell(无需登录涉及████云██厂商)
2016-01-16 搜██云██平台敏感信息泄露(padding oracle漏洞实战)
2016-01-15 搜██云██平台权限控制不严可查看任意用户信息
2016-01-14 ██通信某处SQL注入(order by注入/附验证脚本)
2016-01-13 ██云██处存储型XSS
2016-01-12 某市██电██云██务漏洞(可对全市电力监控/大量居民电力信息泄露/可对全市情况实时监测)
2016-01-08 乐██云██个数据库密码泄露
2016-01-07 ██云██i路由器默认webserver配置不当漏洞可入内网
2016-01-07 公██云██全之网███云██务设计不当导致一些内部API泄露
2016-01-03 美██云██务主站某漏洞涉及大量用户信息并可控██云██机
2016-01-03 亿██云██个漏洞(涉及某众测合同+Mail+JIRA+阿██云██Ģֈ█云██储等敏感信息)
一年半不到的时间,仅公开标题的就有360+条漏洞记录,其中不乏top 10以内的公有云,从实际项目来看也包含私有云,只是点出了用户单位但没有直指私有云建设厂商(笔者也中了枪,反省)。业务系统的范围不限于政务、医疗、教育、互联网……。关注这一块的白帽们看到前面的日期应该能回想起其中一些颇有意思的漏洞。
只通过标题无法明确知道漏洞的具体内容,但对漏洞类型能有个大抵揣测。开发者、架构师、运维运营人员对软件、服务的不当编码、设计与使用,这些仍然是大头。 现在各厂商在设计架构的时候越来越注重IaaS层的资源隔离,当一个租户被攻击时,不会对其它租户造成影响,但 PaaS、SaaS层的入侵往往仍能获取大量的用户数据,危险性最大的当然是存放用户token的数据库,将攻击范围瞬间铺开了来。
拥有足够安全支撑的企业确实好一些,但现在的行业内,尤其是私有云、行业云SaaS提供者等,和安全的脱节已经很明显,一方面原因是存在 与过去IT架构中的安全服务组件的集成成本、架构阻力,从本专栏之前的一篇文章 《云环境下的安全服务架构 》可见一斑;另一方面是用户自身出于敏捷、成本等因素对安全的忽视或对云安全严峻形势的不了解,而让不少云厂商们也觉得没必要投入相应的设计考量。毕竟客户都无所谓,多一事不如少一事。
当然安全行业的水也深,特别是在官字号的领域和客户场景下,传统安全厂商将客户渠道看得无比重要,就连厂商内部卖盒子的部门和提供云安全服务的部门都有一定的竞争,更不用说和众多的云厂商分享利润了;比起将安全能力在云框架内深度集成,宁可将云和安全按以前IT业务+安全 “1+1” 的方式建设。这一点不得不说大厂、公有云做得好多了,真正意义上在践行着 “合作共赢、营造生态、发掘价值” 等。
举两个参与过的私有云例子,项目A客户云平台基础架构为VMware,项目B客户云平台基础架构为OpenStack+KVM,两者都部署了如物理防火墙、IPS、漏扫、WAF等系统,看似架构完善,固若金汤。但在实际测试中,我们发现A、B客户都使用了第三方云管平台(CMP),后台与基础架构间进行了API与DB层面的集成,而身份授权处理得粗糙——一个账户管所有服务调用,在通过某一云管平台用户登录后,尝试组件漏洞(如处理上传后图片的ImageMagick命令执行、struts2系列等)入侵云管平台后,通过这个VMware vCenter账户或 OpenStack admin账户获得了整个平台的大量信息,甚至去通过API操作其它租户的资产。
这就是“不成熟”的集成带来潜在风险的典型案例,上述例子甚至不能通过简单的路线隔离来解决,因为它利用的正是CMP与底层服务API间的正常业务通路,而底层API肯定是专注于功能的,早已将安全能力托付给了专注身份验证的组件/模块。
从漏洞黑板报中看出,公有云基本都有自己的SRC,其意义不仅在于对白帽提交漏洞的精准定位与快速响应,更在于对用户云资产的关联保护,例如:某用户的云上系统存在可未授权访问的服务,非redis、建站程序admin这样可被云厂商自己云安全服务检测到的,被白帽发现了,在第一时间联系不到用户的情况下,通过IP、备案或网站底边栏的文字内容等信息知道了是在某家公有云上的业务,便可通过云厂商SRC联系云厂商再转交用户。所以,还没建SRC的公有云们,抓紧咯。
私有云在不为客户建设SRC的情况下,可以提醒用户在补天、漏洞盒子这样的平台建立SRC,或对用户业务系统在公有SRC上的披露信息进行监控,及时推送给用户,至少体现云建设厂商对用户的安全关注。
前面爬取漏洞平台漏洞标题的代码很简单,在:https://github.com/opencloudshare/VulnSpider_cloud
随着云计算、IoT的发展,以前专注于传统网络安全的攻击者也会补充越来越多的云知识、熟悉越来越多的云场景, 云安全因而一定会面临着攻击者更多新奇的思路。
