注意!研究發現無伺服器應用可被劫持拿來挖礦 企業不可不防
加密綁架威脅主要(但並非全然只)發生在瀏覽器上。但以色列網路安全公司PureSec一項新研究顯示值得注意的一點:加密貨幣挖礦程式可能被偷偷部署於無伺服器(Serverless)應用程式裡。
該公司在最新報告《新攻擊面:無伺服器加密挖礦》中公佈了這項研究。
這類攻擊對於所有在AWS Lambda和Microsoft Azure之類平台上部署無伺服器應用的企業發出一大警訊,因為它讓駭客可以花企業的錢來發動加密貨幣挖礦攻擊。
PureSec研究人員證實可以迫使無伺服器功能自動下載市售的挖礦程式。這攻擊行為可和應用程式平常作業平行執行,一點都不見影響,因此得以暗中竊取運算資源。
PureSec研究人員還成功擴充無伺服器程式碼,使惡意程式的執行個體平台多到逼近平台極限為止。
這表示駭客能大規模發動挖礦攻擊,但受害者卻要等到收到嚇死人的代管伺服器帳單才發現大事不妙。
PureSec在3種不同的無伺服器代管供應商上進行攻擊測試,不過沒有明說是哪3家。這家業者也強調問題並不是供應商,而是無伺服器技術本身的自動擴充功能上頭。
「伺服器應用程式對加密綁架者來說是天下掉下來的禮物,」PureSec共同創辦者暨技術長Ory Segal說:「它們能自動擴充,讓駭客可以很輕易地把一個有漏洞的功能眨眼間變成加密貨幣挖礦的礦山。無伺服器架構吸引軟體公司的優點和好處也同樣令惡意攻擊者趨之若鶩。一如所有新技術,無伺服器也帶來新的安全挑戰。」
無伺服器運算最大問題之一是它還相當新,大家使用經驗都不多,和傳統應用代管架構相比歷史更是短的可以。而這也意謂著企業很難辨識出攻擊及緩解的方法,PureSec共同創辦人暨執行長Shaked Zin表示。
「無伺服器架構太新了,以致於企業還不知道要怎麼保護應用免於攻擊,」他說。
Source: TheNextWeb