关于用户AccessKey保管不当导致勒索和数据泄漏的风险预警
摘要
一、风险概览 近期,阿里云应急响应中心监测到多起因用户AccessKey被盗引发的数据泄漏和勒索事件。攻击者通过用户配置不当的Nacos应用获取云账号AccessKey(简称AK)和SecretKey(简称SK),利用其高权限特性窃取核心业务数据并强制释放云实例,进而实施勒索。 二、攻击分析 第一步:获取密钥 用户Nacos服务向公网开放后,因鉴权配置不当或弱口令问题被攻击者入侵获取AK/SK,利用AK创建具备管理员权限的RAM账号; 第二步:窃取数据 使用新创建的RAM账号登录控制台,访问数据库并导出重要数据,然后释放数据库实例、删除快照、对ECS进行
正文
一、风险概览 近期,阿里云应急响应中心监测到多起因用户AccessKey被盗引发的数据泄漏和勒索事件。攻击者通过用户配置不当的Nacos应用获取云账号AccessKey(简称AK)和SecretKey(简称SK),利用其高权限特性窃取核心业务数据并强制释放云实例,进而实施勒索。 二、攻击分析 第一步:获取密钥 用户Nacos服务向公网开放后,因鉴权配置不当或弱口令问题被攻击者入侵获取AK/SK,利用AK创建具备管理员权限的RAM账号; 第二步:窃取数据 使用新创建的RAM账号登录控制台,访问数据库并导出重要数据,然后释放数据库实例、删除快照、对ECS进行加密等,对业务数据进行破坏,进而进行勒索。由于实例和快照均被删除,若无其他备份,数据恢复可能性极低。 三、安全建议 针对上述攻击手段,阿里云将主动巡检存在风险的Nacos服务,检测AK异常调用行为,并针对高危攻击进行主动限制保护。相关风险将通过安全告警通知用户,建议前往消息中心,确保「安全消息-账号安全告警」已订阅,且对应的联系人手机号配置正确,以便能及时收到消息并处理。 此外,用户也可通过以下方式主动处置风险: 限制高危服务公网访问:避免将Nacos等存有敏感凭据的服务暴露至公网; 最小化AK权限:避免使用主账号AK,建议通过RAM用户创建具有最小权限的子账号AK并定期轮换,或使用临时令牌(STS Token)替代长期凭证; 检查是否存在未授权创建的RAM用户和AK调用:前往访问控制,检查并及时禁用陌生或异常的RAM用户;前往操作审计,检查是否存在异常的AK调用,重点排查来自境外的IP调用,若存在异常调用请及时按照AccessKey泄露处理方案进行AK轮转。
标签
- risk_notice
- security
扩展字段
{
"bulletin_type": "security",
"bulletin_type_detail": "risk_notice",
"ext_info": {
"delistLink": "",
"processInstanceId": "94f2a88b-693a-408c-a146-09473ccbb600",
"processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=94f2a88b-693a-408c-a146-09473ccbb600",
"publishType": "manual",
"refundUrl": "",
"secondaryChangeTypeLabel": "/风险通告"
},
"impact_time": "[]",
"impact_time_type": "not-set",
"language": "zh",
"product_code": "",
"product_info": "",
"status": "published"
}