文章总结： 文档披露AWSWickr合规云存在严重安全漏洞，包括未剥离的生产二进制文件暴露完整符号表、FIPS模块采用PartialRELRO导致28个GOT.PLT条目可写、TLS配置禁用EMS扩展引发三重复握手攻击风险，以及硬编码美国情报界秘密网络端点。这些缺陷可能被武器化实现端到端解密，直接威胁美军战场通信与情报共享安全。建议使用方重新评估系统安全性并要求AWS紧急修补。 综合评分： 84 文章分类： 漏洞分析,威胁情报,安全建设,解决方案,政策法规

AWS Wickr安全神话破灭？暗网零日漏洞利用链兜售背后的真相与美军事通信隐患

原创

网空闲话 网空闲话

网空闲话plus

2026年6月16日 11:46 北京 标题已修改

在小说阅读器读本章

去阅读

2026年6月16日，一名自称“Orcinus Orca”的黑客在暗网论坛发布售卖帖，声称拥有针对AWS Wickr Compliance Cloud的“完整零日利用链”，要价仅接受第三方托管交易。帖子附带了一份长达数十页的技术证据文件（proof.txt），其中详细列出了从生产环境二进制文件中直接提取的符号表、内存保护缺陷、TLS安全参数降级以及硬编码的美国情报界秘密网络端点。AWS Wickr的官方客户包括美国空军特种作战司令部、美国陆军远程医疗与先进技术研究中心（TATRC）、国防威胁情报公司Qintel等敏感机构。如果该兜售内容属实，这将是近年来针对美国军方与情报界安全协作系统最严重的一次安全预披露。

一、核心证据核实：从生产二进制到FIPS模块的完整妥协

1.1 未剥离的生产二进制——完整的攻击地图

证据文件通过 file wickrio_compliance 确认该二进制未被剥离（not stripped），并执行 nm wickrio_compliance | wc -l 得到 34,085 个符号。进一步统计虚函数表（nm -C | grep 'vtable for' | wc -l）得到635个vtable。这包括：

• WickrRegkeysS3Interface、WickrKeyPair、WickrSecureRoomMgr等关键类
• WickrIOAWSServices::AssumeRole 函数（地址 0x44bbf0）
• 所有全局变量（如 WickrRegkeysS3Interface::keyFilename位于BSS 0xd2b810）

分析评论：在生产环境的合规性服务中部署未剥离符号的二进制，等于向攻击者提供了完整的内部架构图纸。攻击者可以精确定位每个敏感函数的内存地址、虚函数表布局以及全局数据结构，大幅降低漏洞利用的开发门槛。

1.2 FIPS 140-3模块的Partial RELRO——28个可写GOT.PLT条目

证据文件使用 readelf -l fips.so和readelf -d fips.so检查RELRO状态，结果显示 GNU_RELRO段存在但未设置BIND_NOW标志，即Partial RELRO。随后通过 objdump -R fips.so列出了.got.plt段中的所有重定位条目，其中从偏移0x43e018 开始的大量JUMP_SLOT在运行时可写，包括：

0x43e018  getenv@GLIBC_2.2.50x43e020  abort@GLIBC_2.2.50x43e058  strlen@GLIBC_2.2.50x43e070  memset@GLIBC_2.2.50x43e078  memcmp@GLIBC_2.2.50x43e0a0  memcpy@GLIBC_2.140x43e0d8  vfprintf@GLIBC_2.2.5

技术原理：Partial RELRO允许动态链接器延迟解析函数地址，GOT.PLT在程序运行初期仍可被修改。攻击者一旦获得任意内存写入原语（例如堆溢出或UAF），即可覆盖 memcmp或memcpy的地址，进而绕过FIPS模块的HMAC完整性自检（KAT_Integrity），并拦截或篡改所有加密操作。

1.3 致命配置：tls1-prf-ems-check = 0 —— 三重复握手攻击可实施

证据文件完整粘贴了 /root/prime/fips/openssl.cnf 的内容，其中第66行明确写着：

ini

tls1-prf-ems-check=0

EMS（Extended Master Secret）是TLS 1.2及TLS 1.3中抵御三重复握手攻击（Triple Handshake Attack）的关键扩展。将其禁用意味着攻击者可以在两个合法端点之间插入自己的会话，解密或篡改所有经过TLS保护的通信内容。值得注意的是，该配置位于FIPS模块的配置文件中，而FIPS 140-3要求密码模块必须使用经批准的密钥建立方案。此处的人为降级表明合规认证与实际部署之间存在显著差距。

1.4 硬编码的美国情报界秘密网络端点（C2S / ISOB）

通过strings wickrio_compliance | grep -iE 'C2S|ISOB|SIPRNet' 等命令，证据文件中直接提取到以下完整URL：

https://wickr-registration-keys-dca.s3.us-iso-east-1.c2s.ic.govhttps://wickr-registration-keys-lck.s3.us-isob-east-1.sc2s.sgov.govhttps://global.messaging.wickr.us-iso-east-1.c2s.ic.govhttps://global.messaging.wickr.us-isob-east-1.sc2s.sgov.gov

• us-iso-east-1.c2s.ic.gov：AWS商业云服务（C2S）区域，专为美国情报界（IC）托管高侧敏感工作负载。
• us-isob-east-1.sc2s.sgov.gov：AWS隔离区域（ISOB），用于SIPRNet（秘密互联网协议路由器网络）及联邦机构高敏感信息传输。

此外还提取到 一个12位AWS账号ID（495671118100）、S3桶名枚举方法（通过 NoSuchBucket vs AccessDenied错误码差异可判断桶是否存在），以及``WickrRegkeysS3Interface::bdata 静态成员地址，该成员存储从AWS获取的S3桶数据。

分析评论：这些信息并非配置文件的意外泄露，而是硬编码在二进制字符串表中的。这意味着即使攻击者无法访问源代码，也可直接定位到美国国防部与情报界使用的注册密钥S3桶，结合AssumeRole函数与泄漏的IAM角色环境变量（WICKRIO_AWS_CREDS_ROLE_ARN、WICKRIO_AWS_CREDS_EXTERNALID），尝试跨账户角色扮演，获取核心加密密钥材料。

1.5 其他深度挖掘的敏感线索

证据文件还揭示了以下未在初稿中充分使用的细节：

• SQLCipher共享库同样存在Partial RELRO：libsqlcipher.so 有 13,494 个重定位条目，且其 .got.plt 中包含 memcmp、malloc、free 等可写函数指针。
• 77MB的SOCKS5代理库：libvtc_socks5_lib.so带有调试信息且未剥离，暗示可能存在网络隧道或流量中转功能。
• 161MB的MLS SDK：libWickrMlsSdkCpp.so 包含AES、ECDSA、RSA等大量加密符号，表明Wickr使用Messaging Layer Security协议，但底层密码学实现依赖可被劫持的GOT条目。
• s2n TLS库路径泄露：二进制中包含 /home/root/Development/aws-sdk-cpp/crt/aws-crt-cpp/crt/s2n/crypto/... 路径，暴露了构建环境和潜在源码位置。

二、对Wickr客户的影响评估

AWS Wickr官网列出的客户包括：

• 美国空军（US Air Force）：首席技术官Todd Weiser明确表示，Wickr RAM用于“战术及更高层面、驻军和军队部署的安全协作”，并强调“它是唯一符合DoD合规要求的解决方案”。
• 美国陆军TATRC：高级总监Matt Quinn称，Wickr集成到“军事紧急远程危重护理平台（METTC-P）”中，为战地医护人员提供全球专家实时指导。
• Qintel：首席执行官Bill Schambura表示，Wickr用于“威胁情报和其他关键信息的自动化处理”。
• Operation Recovery：利用Wickr与阿富汗盟军进行安全通信。

这些客户均高度依赖Wickr宣称的“端到端加密”和“零信任架构”。然而，上述漏洞链一旦被武器化：

1. FIPS模块绕过：通过覆写 memcmp 或 memcpy，攻击者可禁用HMAC完整性检查，直接注入恶意代码到FIPS模块中。
2. TLS会话解密：利用 ems-check=0实施三重复握手攻击，可实时解密所有控制信令和媒体流。
3. S3注册密钥泄露：通过AssumeRole调用和硬编码桶名，获取用户的长期密钥材料，进而解密历史消息与文件。
4. 内存中窃取明文：通过VTable劫持或GOT覆写，在消息发送前拦截明文内容。

综合后果：攻击者可能实现完全的“端到端解密”，而不仅仅是元数据访问。这对于美军战场通信、特种作战协调以及跨机构情报共享构成直接威胁。

三、证据真实性评估

proof.txt中的所有命令与输出具有高度可验证性：

1. 时间戳一致：HTTP响应中包含 date: Sun, 14 Jun 2026 23:20:52 GMT，与文件中的日期逻辑一致。
2. 错误码行为符合AWS规范：NoSuchBucket vs AccessDenied 的差异是S3公开已知的信息泄露渠道。
3. 版本号冲突可验证：libcrypto.so.3 显示 OpenSSL 3.0.13 30 Jan 2024，而 fips.so中的openssl-version字符串为 3.1.2，版本不一致本身就是FIPS模块兼容性风险点。
4. 分类网络域名真实存在：c2s.ic.gov和sc2s.sgov.gov是真实美国官方高安全域名，非虚构。

唯一保留的不确定性：兜售者是宣称已开发出可远程利用的完整exploit？还是仅停留在信息泄露和本地分析阶段？但仅当前披露的信息量，已构成重大安全事件。

四、结论

AWS Wickr 以“没有人（甚至是AWS）可以访问您的消息”为安全承诺，服务于美军、情报界和关键基础设施。然而，此次泄露事件暴露了多个基础性工程与配置缺陷：

• 生产二进制未剥离（基础OPSEC原则违反）
• FIPS模块Partial RELRO（内存保护不完整）
• TLS安全参数人为降级（ems-check=0）
• 硬编码秘密网络IP与S3桶名（基础设施暴露）

这些并非侧信道攻击或天基漏洞，而是在标准化安全审查和合规扫描中本应发现的中低层级配置与编译失误。对于任何使用Wickr的政府或军事组织而言，必须重新评估其“端到端加密”的实际保护强度，并要求AWS立即发布官方安全公告和紧急补丁。

如果这份零日出售帖最终被证实为可用的远程利用链，则意味着美军的战场通信、特种作战协调以及跨机构机密信息交换可能已经面临现实风险。此事件也向所有安全协作平台发出警示：FIPS 140-3验证标签不等于实际部署安全，合规文档不等于无漏洞。

参考资源

1、https://breached.su/threads/exploit-wickr-classified-complete-data-exfiltration-chain-for-c2s-isob-aws-management-networks.88297/

2、https://aws.amazon.com/cn/wickr/customers/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《AWS Wickr安全神话破灭？暗网零日漏洞利用链兜售背后的真相与美军事通信隐患》