安全研究人员发现多个Azure内置角色权限配置错误,赋予了比预期更多的权限,攻击者可利用此漏洞结合Azure API中的VPN密钥泄露漏洞,通过一个弱用户账号访问内部云资产和本地网络。研究人员详细介绍了发现过程、影响和组织如何防范此类威胁。其中,10个内置角色存在过度权限问题,而VPN密钥泄露漏洞已被微软修复。研究人员建议审核问题角色的使用、使用特定和有限的范围,以及构建自定义角色来提高安全性。
阅读更多
安全公司Token Security发现AWS官方的Account Assessment工具存在严重安全漏洞。该工具旨在审核跨账户访问权限,但其部署指南却错误地鼓励用户在安全性较低的账户(如开发环境)中部署中心角色,从而创建从不安全环境到高度敏感环境(如生产环境)的危险信任路径,导致权限提升风险。攻击者可能利用此漏洞轻松获取对整个AWS组织的控制权。AWS已于2025年1月28日修复了该问题,并更新了文档,建议用户将中心角色部署在安全性与管理账户相当的账户中。受影响的组织应检查其部署,并采取相应措施进行修复。
阅读更多
在云环境中,基础设施即代码(IaC)工具能够快速创建大量非人身份标识符(NHIs)。然而,追踪这些由IaC生成的NHIs的所有者却是一大难题。本文探讨了一种基于标签的方案,通过在Terraform代码中添加标签来追踪资源创建过程中的文件,从而确定NHIs的所有者。尽管该方案在实际应用中面临诸多挑战,例如标签继承问题和跨平台兼容性等,但它为解决IaC生成的NHIs所有权问题提供了一种思路,并能帮助DevOps团队更好地追踪和管理其IaC身份。
阅读更多