公有云企業(yè)仍在客戶VM下暗中安裝軟件

安全廠商指出，雖然已經(jīng)有前例證實(shí)，云計(jì)算服務(wù)企業(yè)安裝客戶不知道的軟件引發(fā)安全風(fēng)險(xiǎn)，但許多云計(jì)算企業(yè)迄今仍然還有這行為。

本周在RSA 2022大會(huì)上，安全廠商Wiz公布三大公有云企業(yè)中不為人知，但有漏洞的中間件（middleware），顯示云計(jì)算企業(yè)在未清楚告知或在用戶全然不知情下安裝中間件情況仍相當(dāng)普遍。

這是該公司繼去年一項(xiàng)Azure云計(jì)算漏洞發(fā)現(xiàn)后的后續(xù)研究。去年Wiz披露風(fēng)險(xiǎn)值9.8的OMIGOD遠(yuǎn)程程序執(zhí)行（RCE）漏洞，是發(fā)生在Open Management Infrastructure（OMI）代理程序中，當(dāng)Azure啟動(dòng)Linux VM時(shí)會(huì)暗中自動(dòng)安裝，以致于用戶在不知情下曝險(xiǎn)。

Wiz上周公布的資料僅列出Azure、AWS及Google Cloud內(nèi)安裝的12項(xiàng)中間件，包含一些過(guò)去發(fā)生過(guò)漏洞者，包括Microsoft Azure Guest Agent（WALinuxAgent）關(guān)鍵資源許可分配不正確漏洞（CVE-2019-0804，CVSS 6.5）、AWS Systems Manager Agent的本地權(quán)限升級(jí)（LPE）到根目錄執(zhí)行漏洞（CVE-2022-29527，CVSS 7.0）、Google Accounts Daemon的LPE到根目錄執(zhí)行漏洞（CVE-2020-8933，CVSS 7.8）、以及Google osconfig agent的LPE漏洞。這些漏洞已經(jīng)修補(bǔ)。

不過(guò)研究人員指出，這些中間件是對(duì)接用戶虛擬機(jī)和云計(jì)算企業(yè)托管基礎(chǔ)架構(gòu)的角色，可能使客戶暴露于攻擊表面。另一個(gè)問(wèn)題是，這類中間件冒出漏洞時(shí)，修補(bǔ)責(zé)任在誰(shuí)身上并不明確。研究人員以去年OMIGOD為例說(shuō)明，當(dāng)微軟發(fā)布修補(bǔ)程序時(shí)，Azure用戶必須自己安裝，但是用戶自己并不知道有漏洞。

研究人員認(rèn)為確保修戶安全的最好方法是要求企業(yè)清楚說(shuō)明，它們集成在用戶虛擬機(jī)的第三方軟件。