文章总结: Unit42研究发现攻击者可利用云存储桶名称全局唯一性,通过删除目标存储桶并立即以同名重建的方式,将数据流静默劫持至自身账户窃取审计日志等关键数据。该攻击具有配置、运行状态及数据价值层面的多重隐蔽性。防御建议包括最小化删除权限、启用命名空间隔离、监控存储桶删除事件及定期审查数据流目标账户。 综合评分: 85 文章分类: 云安全,数据安全,应用安全,安全运营
云上“同名不同主”——存储劫持的信任悖论
小铭团队 – C 小铭团队 – C
观初科技
2026年6月29日 18:11 上海
在小说阅读器读本章
去阅读
文
章
前
言
目前的审计日志、遥测数据及业务备份,正持续“正常”地写入一个被信任的云存储桶实例。但真相是——这些数据正源源不断流入攻击者的云账户。这便是近期曝光的“云存储桶劫持”攻击。
Palo Alto Networks旗下Unit 42研究团队发现,该攻击利用存储桶名称全局唯一这一设计特性。攻击者无需修改任何配置,仅凭一个桶名,就能将您的数据流静默重定向至自己控制的账户,实现“狸猫换太子”式的窃取。
01
攻击链:静默重定向
01
获取关键权限
攻击者通过钓鱼、凭证泄露或利用过度授权的身份,获得在目标云环境中删除存储桶的权限。
02
识别目标存储桶
攻击者寻找一个被用作活跃数据流目的地的存储桶,例如云平台的日志接收器、存储复制规则或诊断导出设置。
03
执行劫持操作
攻击者删除该存储桶,并立即在自己控制的云账户中使用相同名称重新创建。由于数据流配置未变,所有后续日志和数据将自动写入攻击者的存储桶中。
02
危险的“四重隐蔽性”
这种攻击手法与传统数据泄露截然不同,其隐蔽性体现在多个层面。
从配置角度看,攻击者未篡改任何路由规则,避开了对配置变更的常规告警。从运行状态看,数据传输正常无报错,安全仪表盘可能依然显示绿色,但数据目的地已经易主。
从数据价值看,被劫持的通常是审计日志等“证据室”数据,攻击者可借此洞察受害者的检测与响应能力。
此外,Unit 42已确认该技术在多家主流云服务商上均可成功模拟。类似事件已有先例——攻击者曾利用被删除的存储桶名称向开源软件包注入恶意代码,弃用的存储桶名称因此成为巨大风险敞口。
03
零信任数据管道防御体系
防御云存储桶劫持,需要将注意力从“数据是否可读”转向“数据流向何方”。Unit 42建议采取以下核心措施。
- 最小化删除权限。 严格限制存储桶删除等高风险权限,仅授予极少数核心管理员,并从常规服务账户中移除。同时启用云平台的数据边界策略,阻止数据写入组织信任边界之外的存储桶。
- 启用命名空间隔离。 使用云平台提供的账户或区域限定命名空间功能,将存储桶名称的作用域限定在特定账户和区域内,从根本上防止跨账户重名。对于存放关键数据流的存储桶,若无绝对必要,建议清空内容但保留空桶,防止名称被回收利用。
- 强化监控与响应。 将存储桶删除事件(尤其是与日志、遥测相关的)视为最高优先级安全事件并设置实时告警。定期审查关键数据流目标存储桶的实际所属账户,确保未发生变更。
全
面
防
护
面对云存储桶劫持这类利用架构设计缺陷的新型攻击,组织需要的不仅是单点防护措施,更是一套能够覆盖云原生全生命周期、贯穿身份与数据链路的系统性防御体系。Palo Alto Networks持续推动安全技术创新,为组织提供从身份到网络、从端点到云端的全面防护,帮助企业在威胁演进中始终保持主动。
网络安全平台
以下一代防火墙(NGFW)实现应用深度识别与精细化管控;融合SASE方案支撑全球分布式安全接入;通过DNS安全服务和高级URL过滤保障网络访问安全。
Prisma Cloud
一体化云原生应用安全保护平台(CNAPP),覆盖代码到云端的全生命周期,集成CSPM、CWPP和CASB,多云环境下统一落地安全策略与合规管控。
Cortex安全运营平台
XDR技术打通端点、网络与云端数据孤岛,加速威胁检测与响应;XSOAR实现安全流程自动化;AI驱动的XSIAM将海量安全数据转化为可落地的风险研判。
Cortex Xpanse与Unit 42
勘测全网暴露资产,排查隐形资产与配置漏洞,结合威胁情报输出整改方案。攻击面管理与XSIAM深度融合,通过AI推演攻击路径,形成风险发现到自动响应的完整闭环。
AI安全
为AI模型与数据传输链路提供全方位防护,涵盖模型中毒检测、提示注入防御、数据隐私保护和AI风险合规治理。
OT安全
面向能源、制造、交通等关键基础设施,实现IT与OT一体化可视防护,实时监控工业控制系统(ICS)风险状态,有效拦截入侵破坏。
观初科技作为Palo Alto Networks的钻石级合作伙伴,如您希望进一步了解Palo Alto Networks 解决方案细节,可随时联系我们:[email protected]!
部分文章来源:PALO ALTO NETWORKS
本文撰写/校对/排版:小铭团队C
二次校对:小铭团队L
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:观初科技 小铭团队 – C 小铭团队 – C《云上“同名不同主”——存储劫持的信任悖论》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论