雲端資產平均有115個漏洞,部分漏洞已存在數年
新聞分析
2025年6月9日 6分鐘閱讀
雲端安全
漏洞
雲端資產的安全狀態已達到一個關鍵的臨界點,攻擊者越來越多地將注意力轉向企業雲端環境,而企業並沒有採取足夠的措施來保護這些環境。
圖片來源:egd/Shutterstock
企業難以保持其雲端基礎設施的安全,而在應用程式和工作流程中採用和整合AI服務的競賽使得情況更加惡化。
今年,研究人員分析了AWS、Azure、Google Cloud、Oracle Cloud和阿里巴巴雲端等雲端平台上的數十億個生產資產後發現,雲端資產平均有115個漏洞,超過一半的組織至少有一個已存在20年以上的漏洞。這個趨勢令人擔憂,因為攻擊者,包括國家支持的網絡間諜團體,近年來越來越多地針對雲端基礎設施。
三分之一的雲端資產屬於Orca Security的「被忽視資產」類別——這些資產使用不再受支持的操作系統,並且已經超過180天沒有修補漏洞。幾乎所有公司都至少有一個被忽視的資產,通常是虛擬機。
組織也感受到採用AI的壓力,否則他們將落後,但這種倉促的方法往往以安全為代價。根據Orca的發現,62%的組織在其雲端環境中至少有一個與AI相關的漏洞包,而許多這些AI缺陷都是中等嚴重性及以上的,允許進行數據洩露或遠程代碼執行等攻擊。
漏洞利用率上升
————————
根據Verizon的2025年數據洩露調查報告(DBIR),對22,000起安全事件(包括12,195起確認的數據洩露事件)的分析發現,漏洞利用是第二大最常見的初始訪問向量,首次超過釣魚攻擊,僅次於憑證濫用。
加上許多組織現在採用混合環境,結合本地和雲端資產,這些環境中的漏洞都是攻擊者極具吸引力的目標。
Orca發現,超過三分之二的組織至少有一個雲端資產是對外開放的,並且允許橫向移動。此外,55%的組織在多個雲端提供商中部署了資產。
網絡服務是最脆弱的資產,82%的組織至少有一個未修補的網絡服務。而這些漏洞並非都是新的:98%的組織至少有一個雲端資產漏洞,已經存在10年以上。
Log4Shell和Spring4Shell是2021年和2022年分別報告的、廣泛被利用的漏洞,仍然是兩個突出的例子。Orca發現,近60%的組織仍然有受這些漏洞影響的資產,三分之一的組織有暴露在互聯網上的資產,容易受到Log4Shell的影響,這是一種導致遠程代碼執行的漏洞。
「這些發現清楚地表明,特別是在複雜的威脅集團針對最容易被利用的漏洞時,雲端資產需要更好的修補管理。」Orca團隊在其報告中寫道。
例如,APT29,一個歸因於俄羅斯聯邦外國情報局(SVR)的網絡間諜團體,以利用漏洞進行初始訪問和針對雲端基礎設施而聞名。該團體的目標包括技術公司,而對這些公司的入侵可能導致供應鏈攻擊。
孤立的風險導致更大的問題
————————————
Orca還警告說,半數組織的資產暴露了攻擊路徑,可能導致敏感數據的暴露,以及23%的組織的資產暴露了攻擊路徑,可能導致廣泛的權限訪問和主機被入侵。攻擊路徑是看似孤立的風險的組合,但可以結合起來導致更大的入侵。
例如,Orca發現,超過三分之一的組織至少有一個資產創建了超過100個攻擊路徑,10分之一的組織有資產創建了超過1,000個攻擊路徑。Orca在其數據集中發現的最具毒性的資產負責了165,142個攻擊路徑。
數據暴露是一個常見的問題,三分之一的組織有公開暴露的存儲桶或數據庫,其中包含敏感數據。
「威脅者非常重視敏感數據,特別是在人工智能創新需求不斷增加的情況下。」Orca團隊寫道。「這凸顯了一個令人不安的趨勢,呼籲人們更加關注數據安全。」
身份威脅
—————-
雖然漏洞是Verizon DBIR中第二大最常見的初始訪問向量,但被濫用的憑證再次排名第一。可以被濫用於初始訪問或橫向移動的身份不僅包括終端用戶憑證,還包括API密鑰、訪問令牌、服務帳戶、雲端函數和其他機器、服務和工作負載使用的非人類身份(NHIs)。
「我們的分析發現,NHIs的數量是人類身份的50倍。」Orca團隊說。「但是,當NHIs未被保護時,它們會大大增加雲端風險,特別是當用戶授予NHIs超過所需的權限時。」
Orca發現,77%的AWS用戶組織至少有一個服務帳戶具有跨兩個或多個帳戶的權限,12%的組織具有允許超過50個實例的寬鬆角色。其中一些角色創建後長期未使用,近90%的組織有超過90天未使用的IAM憑證。
許多允許訪問敏感資源的密鑰通過源代碼倉庫(85%)暴露出來,超過一半的明文密鑰即使在代碼的最新版本中被刪除後,仍然嵌入在Git歷史記錄中。
除了暴露的密鑰外,攻擊者還可以利用基礎設施即代碼模板(20%的組織)、Lambda函數(77%的組織)和源代碼管理平台(如GitHub和GitLab)(57%的組織)中的配置錯誤。
「雲端安全已經達到一個關鍵的轉折點。」Orca團隊總結道。「隨著組織越來越依賴雲端來加速創新和增長,多種趨勢正在重新塑造安全團隊面臨的挑戰——以及他們需要保持領先的策略。」
編輯評論:
這篇文章揭示了雲端資產安全狀態的令人擔憂的趨勢。雲端資產平均有115個漏洞,超過一半的組織至少有一個已存在20年以上的漏洞,這是一個非常嚴重的問題。雲端安全需要更好的修補管理和漏洞管理,以防止攻擊者利用這些漏洞。此外,組織還需要更加關注數據安全和身份威脅,以防止敏感數據的暴露和攻擊路徑的創建。
作為編輯,我建議組織應該立即採取行動來保護其雲端資產,包括進行漏洞掃描和修補、實施安全配置和加強身份管理。同時,組織也需要加強對數據安全的重視,採取措施防止敏感數據的暴露和攻擊路徑的創建。
此外,我還建議組織應該考慮採用雲端安全解決方案,以提供全面的雲端安全保護。同時,組織也需要加強對雲端安全的培訓和意識,提高員工對雲端安全的認識和理解。
總之,雲端安全是一個非常重要的問題,組織需要立即採取行動來保護其雲端資產,防止攻擊者的利用和敏感數據的暴露。
