新漏洞“LeakyCLI”泄露AWS和Google云凭证

名为"LeakyCLI"的严重漏洞会暴露来自AWS和Google Cloud所使用的流行工具的敏感云凭据。这给开发人员带来了重大风险,表明需要强有力的安全实践。

云基础设施是现代技术的支柱,其安全性取决于开发人员用于管理它的工具。然而,最近发现的一个名为“LeakyCLI”的漏洞暴露了这些工具的一个严重弱点,可能会授予对敏感云凭据的未经授权的访问。

此漏洞影响Amazon Web Services(AWS)和Google Cloud Platform(GCP)等主要云提供商使用的命令行界面(CLI)。Orca Security的安全研究人员发现了LeakyCLI,它可能会无意中暴露日志中包含密码和访问密钥等敏感信息的环境变量。

CLI通常设计用于安全环境。然而,与自动化开发流程的持续集成和持续部署(CI/CD)管道的集成会带来安全风险。LeakyCLI绕过CI/CD管道中的秘密标签机制,可能将敏感凭据打印到不应包含它们的日志中。

“默认情况下,假定CLI命令在安全环境中运行,”Orca公告解释道。 “但与CI/CD管道相结合,它们可能会构成安全威胁。”此漏洞为采用社会工程策略的攻击者创建了主要目标。

在某种程度上,LeakyCLI漏洞类似于最近涉及开源项目XZ Utils(一种流行的数据压缩工具)的事件。在这种情况下,恶意行为者通过奉承、声称拥有专业知识并最终插入恶意代码来获得维护者的信任。LeakyCLI公开了凭证,使它们对于可能利用社会工程危害项目的攻击者来说更加有价值。

安全研究人员建议采取多种措施来减轻与LeakyCLI相关的风险:

1. 消除环境变量中的机密: 不要在环境变量中存储密码和密钥等敏感信息,而是利用AWS Secrets Manager或Google Cloud Key Management Service等云提供商提供的专用机​​密管理服务。
2. 多重身份验证(MFA):对访问云资源和项目存储库的所有用户实施MFA等强身份验证协议。
3. 精细访问控制:仅授予用户项目中特定任务所需的访问级别。
4. 代码审查:实施严格的代码审查流程,以识别和删除可能意外或恶意引入的任何漏洞。
5. 社区警惕:培养强大且警惕的开发社区,以识别可疑活动并及时报告潜在威胁。

虽然AWS和Google Cloud Platform都收到了LeakyCLI的通知,但他们坚持认为当前的行为符合预期的设计参数。然而,安全社区正在敦促云提供商考虑在其CLI中实施额外的保护,以防止敏感信息泄漏到日志中,尤其是在自动化CI/CD工作流程中。

LeakyCLI漏洞进一步展示了云安全如何面临风险。因此,开发人员和云提供商必须共同努力实施强大的安全措施,并对这些日益复杂的威胁保持警惕。

发表评论

评论已关闭。

相关文章