公有雲業者仍在客戶VM下暗中安裝軟體

安全廠商指出，雖然已經有前例證實，雲端服務業者安裝客戶不知道的軟體引發安全風險，但許多雲端業者迄今仍然還有這行為。

本周在RSA 2022大會上，安全廠商Wiz公布三大公有雲業者中不為人知，但有漏洞的中介軟體（middleware），顯示雲端業者在未清楚告知或在用戶全然不知情下安裝中介軟體情況仍相當普遍。

這是該公司繼去年一項Azure雲端漏洞發現後的後續研究。去年Wiz揭露風險值9.8的OMIGOD遠端程式執行（RCE）漏洞，是發生在Open Management Infrastructure（OMI）代理程式中，當Azure啟動Linux VM時會暗中自動安裝，以致於用戶在不知情下曝險。

Wiz上周公布的資料僅列出Azure、AWS及Google Cloud內安裝的12項中介軟體，包含一些過去發生過漏洞者，包括Microsoft Azure Guest Agent（WALinuxAgent） 關鍵資源許可分配不正確漏洞（CVE-2019-0804，CVSS 6.5）、AWS Systems Manager Agent的本地權限升級（LPE）到根目錄執行漏洞（CVE-2022-29527，CVSS 7.0）、Google Accounts Daemon的LPE到根目錄執行漏洞（CVE-2020-8933，CVSS 7.8）、以及Google osconfig agent的LPE漏洞。這些漏洞已經修補。

不過研究人員指出，這些中介軟體是介接用戶虛擬機器和雲端業者代管基礎架構的角色，可能使客戶曝露於攻擊表面。另一個問題是，這類中介軟體冒出漏洞時，修補責任在誰身上並不明確。研究人員以去年OMIGOD為例說明，當微軟釋出修補程式時，Azure用戶必須自己安裝，但是用戶自己並不知道有漏洞。

研究人員認為確保用戶安全的最好方法是要求業者清楚說明，它們整合在用戶虛擬機器的第三方軟體。