開發者經常無意中在網上暴露AWS訪問密鑰，這已不是秘密，這些密鑰在組織有機會撤銷它們之前，就被攻擊者抓取并濫用。Clutch Security的研究人員進行了一項測試，以查看這種情況發生的速度有多快。

他們將AWS訪問密鑰（在不同場景下）散布在：

代碼托管和版本控制平臺：

• GitHub和GitLab 公共代碼倉庫：Docker Hub（用于容器）、npm（用于JavaScript包）、PyPI（用于Python軟件）、Crates.io（用于Rust crates）
• 托管和測試代碼片段的倉庫：JSFiddle、Pastebin以及公共和私有GitHub Gists
• 開發者論壇：Stack Overflow、Quora、Postman社區和Reddit 。

這項測試的結果顯示，攻擊者傾向于在幾分鐘內發現并利用在GitHub和DockerHub上泄露的AWS訪問密鑰，而在PyPI、Pastebin和Postman社區上暴露的密鑰則在幾小時內被利用。

在GitLab、Crates.io、公共GitHub Gists、JSFiddle、Stack Overflow、Reddit和Quora上發布的AWS秘密在1到5天內被利用。只有在npm和私有GitHub Gists上泄露的密鑰未被使用。

如何自動撤銷暴露的AWS密鑰 研究人員發現，攻擊者通常足夠快，能夠在AWS（如果客戶使用AWS的安全中心和信任顧問服務）發送的關于暴露密鑰的警報之前行動。

盡管AWS將暴露的密鑰自動放入“隔離區”，但這并不足以阻止所有濫用：它只是限制了攻擊者創建一些AWS資源的能力。研究人員泄露的AWS訪問密鑰允許攻擊者登錄到公司的沙盒云環境，進行偵察，提升權限和進行橫向移動，甚至試圖利用公司的基礎設施進行資源密集型操作。

Clutch Security 公司對此表示，“這不是機會主義；而是自動化和意圖。我們觀察到的行動描繪了一幅有方法、高度組織的操作流程?！?/p>

正如Clutch研究人員所看到的，當前泄露的AWS密鑰的問題在于，這些密鑰的撤銷留給了客戶，而大多數客戶未能迅速行動。“現實很清楚：暴露和輪換之間的時間窗口足以讓攻擊者造成重大損害?！?/p>

AWS密鑰泄露事件愈演愈烈

就目前來看，AWS密鑰泄露呈現出愈演愈烈的趨勢。

AWS密鑰泄漏已在一些主要應用程序中被發現，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在線購物服務Club Factory和Wholee。這些結果是對提交給CloudSEK的移動應用安全搜索引擎BeVigil的1萬多個應用程序進行分析后得出的。

總部位于班加羅爾的網絡安全公司分析的應用程序中，公開的AWS密鑰可以訪問多個AWS服務，包括S3存儲服務的憑據，這反過來又可以訪問88個存儲桶，其中包含10073444個文件和數據，總計5.5 tb。存儲桶中還包括源代碼、應用程序備份、用戶報告、測試工件、配置和憑據文件，這些文件可以用來深入訪問應用程序的基礎設施，包括用戶數據庫。

除此之外，近年來AWS密鑰泄露事件屢屢發生。據媒體11月14日報道，自2021年以來，一個名為“fabrice”的惡意Python包在PyPI中被發現，該軟件包竊取了Amazon Web Services憑據，已被下載超過37000次。

大量下載是由于fabrice 對合法的SSH 遠程服務器管理包“fabric”進行錯字造成的，這是一個非常受歡迎的庫，下載量超過2 億次。該 Fabrice 之所以長期未被檢測到，是因為在 PyPI 上首次提交后就部署了先進的掃描工具，而且很少有解決方案進行追溯掃描。

值得一提的是，這個軟件包通過執行特定腳本，在Linux和Windows系統上竊取AWS密鑰，并將其傳遞給VPN服務器，使得追蹤變得更加困難。

在另外一起假冒LockBit勒索軟件的事件中，攻擊者濫用AWS S3 Transfer Acceleration功能實施勒索軟件攻擊，將Golang勒索軟件偽裝成LockBit，以迫使受害者支付贖金。已確認的AWS訪問密鑰和賬戶已被暫停，趨勢科技檢測到30多個嵌入了AWS訪問密鑰ID和秘密訪問密鑰的樣本。

CloudSEK研究人員表示：在移動應用程序源代碼中硬編碼的AWS密鑰可能是一個巨大的漏洞，特別是如果(身份和訪問管理)角色具有廣泛的范圍和權限。誤用的可能性非常大且攻擊的危害性非常大，因為攻擊可以鏈接，攻擊者可以進一步訪問整個基礎設施，甚至代碼庫和配置。

參考來源：https://www.helpnetsecurity.com/2024/12/02/revoke-exposed-aws-keys/