亿格云发现Terraform高危漏洞,影响几乎所有云厂商
Terraform是一个开源的基础设施即代码工具,由HashiCorp开发和维护。它允许用户使用简单的声明性语言定义和配置基础设施资源,如虚拟机、存储、网络等,然后自动化地创建、修改和销毁这些资源。
Terraform 作为 DevOps 的一个利器,大大降低了基础设施的管理成本,并且随着业务架构的不断复杂,基础设施资源及其资源关系的不断复杂,Terraform 所带来的便利性和优势将越来越明显。可以在Terraform Registry上找到所有公开可用的提供商,包括阿里云、腾讯云、华为云、AWS、Azure、Google Cloud Platform (GCP)、Kubernetes、Helm、GitHub、Splunk、DataDog 等都在使用并贡献能力。
目前 Github 上 Star 数量已达 38.8k。
国内大部分云厂商都会在控制台上允许用户通过Terraform语法来配置和管理云上资产,这就导致一旦存在Terraform的漏洞,通过恶意的输入会对平台自身造成严重的影响。在 Hacktricks 的云安全板块上,记录了关于Terraform的一些攻击方法,核心思路是通过上传恶意的Providers 来达到任意命令执行。但是在Hashicorp官方指导和国内云厂商的真实实践上,都只允许特定可信的Providers,并对可能造成危害的函数方法做了强限制,来杜绝可能的危害。
亿格云安全团队研究发现,在Terraform中存在模块的导入功能,对于模块的安装注册步骤时,会在路径的结尾上拼接模块名信息,但是对模块名的校验却在注册安装完毕之后,这就导致了通过控制恶意的模块名,可以在任意位置写入文件,再通过其调用系统上其他可执行程序的逻辑,劫持对应内容,写入恶意的代码,即可达到任意命令执行。目前已将该漏洞上报给Terraform官网,得到官方的致谢和修复,并申请了CVE-2023-4782进行标记和跟踪该问题。该问题也在部分云厂商平台复现,成功执行测试命令,目前均已通知并帮助其进行修复。
