文章总结: Unit42研究发现云存储桶劫持攻击技术,利用全局唯一存储桶名称的设计缺陷,攻击者删除目标桶后以同名重建可劫持数据流,导致AWS、GCP和Azure的日志、遥测等敏感数据被无声窃取。建议执行最小权限原则、部署VPC服务控制等数据边界并启用账户范围命名空间防御。 综合评分: 89 文章分类: 云安全,漏洞分析,安全建设
云存储桶劫持使攻击者能够悄无声息地窃取 AWS 和 Google Cloud 数据
ZM ZM
暗镜
2026年6月30日 08:00 北京
在小说阅读器读本章
去阅读
一种利用所有主要云服务提供商共有的基本架构漏洞的严重云存储攻击技术。
这种被称为云存储桶劫持的技术,允许攻击者悄无声息地将活动数据流(包括审计日志、遥测管道和敏感对象)重定向到攻击者控制的存储环境,而被发现的风险极低。
该漏洞由 Palo Alto Networks 旗下 Unit 42 的安全研究人员发现,其目标是 Google Cloud Platform (GCP)、Amazon Web Services (AWS) 和 Microsoft Azure。
该漏洞源于一个常见的设计选择:全局唯一的存储桶名称。由于任何两个账户都不能同时拥有相同的存储桶名称,因此存储目标的标识严格与其名称绑定,而非与其不可更改的账户所有者绑定,从而造成严重的全局命名空间风险。
攻击链始于攻击者入侵云环境并获取删除目标存储桶所需的权限。
一旦原始存储桶被清空,攻击者会立即在其自己的外部帐户中使用完全相同的名称创建一个新存储桶。
这种简单的名称回收操作会引发毁灭性的连锁反应。先前配置为将数据路由到原始存储桶的自主数据流(例如复制管道、日志接收器或传输作业)将完全保持不变。
这些自动化流程能够无缝地继续运行,将敏感对象和审计事件直接传递给攻击者。存储桶劫持尤其令人担忧的一点是其固有的隐蔽性。
由于数据流持续不间断运行,因此在例行安全检查中,接收器或复制配置看起来完全有效。组织机构往往要等到大量数据泄露发生后才能发现安全漏洞。
Unit 42 的研究人员在多个知名的云生态系统中验证了这种攻击方法。
- Google Cloud:研究人员模拟了通过 Cloud Logging sinks、Pub/Sub 订阅和 Storage Transfer Service 作业进行劫持,只需要权限
storage.buckets.delete而storage.objects.delete不是细粒度的流修改权限。 - 亚马逊网络服务 (AWS):该技术已成功使用 Amazon Data Firehose 和 S3 存储桶复制进行复制,自动将新写入的对象路由到外部控制的目标存储桶。
- 微软 Azure:虽然 Azure 的软删除策略可以防止立即跨租户重用名称,但攻击者利用跨订阅访问将 Azure Monitor 诊断管道重定向到同一租户内的恶意存储帐户。
一个核心发现是,企业环境中经常分配的广泛存储管理员角色,本质上包含存储桶删除权限。
例如,在 GCP 中,标准的存储管理员角色允许攻击者执行这种劫持向量,而无需像logging.sinks.update修改底层数据流那样获得明确的权限。
尚未发现这种技术在实际应用中被利用,但事后检测的难度极大,因此主动防御至关重要。
安全团队必须严格执行最小权限原则,将存储桶删除权限严格限制在最低限度的管理角色范围内。这包括storage.buckets.delete在 GCP、DeleteBucketAWS 和Microsoft.Storage/storageAccounts/deleteAzure 中实施安全锁定。
组织还应部署严格的数据边界控制措施,例如 Google Cloud 中的 VPC 服务控制和 AWS 中的服务控制策略 (SCP),以主动阻止对受信任组织边界之外的存储桶执行写入操作。
特别建议 AWS 用户为 Amazon S3 启用账户范围的区域命名空间,以彻底消除跨账户名称回收的风险。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《云存储桶劫持使攻击者能够悄无声息地窃取 AWS 和 Google Cloud 数据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论