ghostwriter 漏洞:配置错误的亚马逊 aws s3 存储器存在 mitm (中间人)攻击风险
2017-11-08 09:09:05
据外媒 11 月 6 日报道,安全公司 skyhigh 将管理员对亚马逊 aws s3 存储器配置错误的情况命名为“ 漏洞 ”,其首席科学家兼总工程师 sekhar sarukkai 周五在博文中发布警告称 “ 漏洞或将允许黑客针对托管公司的客户/内部员工进行中间人(mitm)攻击后窃取用户敏感信息”。
研究人员表示,攻击者只需要通过互联网识别具有写入权限的公开 s3 存储器后就可访问目标服务器并覆盖所有数据与文件,或上传恶意软件至存储器。此外,存储 javascript 或其他代码的存储器管理人员更应该关注这个问题,以确保黑客不会为了分发恶意软件、挖掘比特币等操作默默覆盖原始内容。
一旦攻击者发现一台具有写入权限的公开 s3 存储器时,他就可以通过替换任一广告程序代码后将其重定向至恶意页面,从而进行中间人攻击或拦截流量的操作。此外,由于该攻击手段极其隐蔽且多数组织均依赖于亚马逊云服务商的信任,因此该类攻击活动并不容易被用户察觉。
目前,尚不清楚该漏洞是否已被利用,但它显然存在。好在研究人员在发现漏洞后立即通知了亚马逊并与其合作,以便迅速解决问题。另外,研究人员还提醒各企业管理员将公司托管的存储器设置为不可公开写入,并确保员工只能从安全的 s3 存储器中下载文件以避免来自外部的黑客攻击。
原作者:kevin townsend,译者:青楚
本文由 翻译整理,封面来源于网络;转载请注明“转自 hackernews.cc ” 并附上原文链接
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信