网易首页 > 网易号 > 正文 申请入驻

AWS紧急补3个高危漏洞:开源工具成云安全盲区

0
分享至


AWS Research and Engineering Studio(研究工程工作室,以下简称RES)的用户群里,今天应该有不少人正在检查自己的版本号。亚马逊云科技刚发布的安全公告(2026-014-AWS)显示,这个开源门户平台藏着三个高危漏洞,能让有账号的攻击者直接拿到root权限,在虚拟桌面主机上执行任意命令。

RES的定位很清晰:帮管理员快速搭建、管理可扩展的云上研发环境。科研团队、工程部门用它跑仿真、存数据、协作开发。正因为常接触敏感数据,AWS用了"strongly urges"(强烈敦促)这种措辞——在官方文档里,这相当于拉响了防空警报。

三个漏洞,三条攻击路径,覆盖2024.10到2025.12.01之间的多个版本。

第一个:会话名称里的"特洛伊木马"

攻击者不需要多复杂的手段。创建一个恶意会话名称,就能触发操作系统命令注入。RES 2025.03到2025.12.01版本都存在这个问题。

漏洞的巧妙之处在于利用了一个看似无害的入口。用户每天创建会话、命名会话,这个高频操作成了攻击载体。一旦成功,虚拟桌面主机上的root权限就到手了——相当于你家的门禁密码被写在快递单上,任何人都能抄走。

AWS给这个漏洞的定性很直接:未经修复的情况下,威胁行为者可以"compromise virtual desktop hosts"(攻陷虚拟桌面主机)。

第二个:API请求里的权限跃迁

第二个漏洞影响范围更广:2026.03之前的所有版本。攻击者发送一个精心构造的API请求,就能把权限提升到"Virtual Desktop Host instance profile"(虚拟桌面主机实例配置文件)。

这个实例配置文件是什么?简单说,它是AWS IAM(身份与访问管理)体系中的一张"万能工牌"。拿到它,攻击者就能访问该主机连接的其他AWS资源和服务——S3存储桶、数据库、Lambda函数,视配置而定。

云环境的危险往往不在单点突破,而在横向移动。一个研发环境的入口,可能通向生产数据库。RES的设计初衷是降低云上研发的管理成本,但这个漏洞让它成了权限提升的跳板。

第三个:文件浏览器里的集群管理器危机

第三个漏洞针对的是RES的FileBrowser功能,影响2024.10到2025.12.01版本。恶意输入通过文件浏览器传递,最终能在cluster-manager EC2实例上执行任意命令。

集群管理器是RES的"大脑"。它调度计算资源、管理用户会话、维护环境状态。攻陷这里,等于拿到了整个研发环境的指挥权。AWS的公告描述得很克制:"take control of the cluster manager"(控制集群管理器),但结合前两个漏洞,攻击者可以完成一套完整的渗透链条:从普通用户→虚拟桌面主机→集群管理器→其他敏感资源。

数据暴露、系统劫持、运营中断——公告列出的三种后果,在云环境里往往是连锁反应。

修复方案与未升级的隐患

AWS已经在RES 2026.03版本中修复了全部三个漏洞。官方建议很明确:尽快升级。但现实中,升级从来不是点一下按钮那么简单。

RES是开源项目。很多企业基于它做了二次开发,fork出自己的定制版本。AWS特意加了一句提醒:这些组织必须手动合并修复补丁,否则漏洞会继续潜伏。开源的灵活性在这里成了双刃剑——你能改代码,也意味着你要对自己的分支负责。

对于暂时无法升级的团队,AWS在GitHub仓库提供了手动缓解措施。这些补丁针对命令注入和权限提升两个攻击向量,算是给全量升级争取时间的过渡方案。

一个值得注意的细节:公告反复强调的是"authenticated attackers"(已认证攻击者)。这意味着漏洞利用的前提,是攻击者已经拥有有效的RES账户。但这在云安全语境里不算高门槛——钓鱼、凭证泄露、内部威胁,都是常见的认证突破手段。三个漏洞的真正威胁,在于把"有账号"变成了"有 root"。

RES的开源属性也让它的用户画像变得复杂。科研机构和工程团队是典型用户,但这些团队的安全运营能力参差不齐。有人能第一时间跟进GitHub的commit记录,有人可能还在跑2024年的版本。

AWS的安全公告机制相对成熟,CVE编号、CVSS评分、修复版本、缓解方案,要素齐全。但开源工具的传播链条里,信息衰减是常态。原始公告→技术博客→社交媒体→口口相传,每一环都可能丢失关键细节。等到"尽快升级"变成"已经出事",往往隔着一次安全事件。

这次漏洞的披露方式也反映了云厂商的普遍困境:既要透明,又不能制造恐慌。公告里没有任何"exploited in the wild"(野外利用)的表述,但三个漏洞的组合利用路径写得足够具体,让安全团队能评估自己的暴露面。

对于依赖RES的组织,接下来的几天是关键的窗口期。检查版本、测试补丁、规划升级、审计账户权限——这些动作的标准程度,往往和团队上次打安全补丁的时间成反比。

你的RES环境现在跑在哪个版本?集群管理器的访问日志里,有没有出现过异常的API调用模式?

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
“刘仪伟,我们的百亿去哪了?”大片投资骗局受害人联名质问

“刘仪伟,我们的百亿去哪了?”大片投资骗局受害人联名质问

文娱春秋Plus
2026-04-20 09:00:08
普京访华行程敲定,特朗普已下命令,中国向全球通告,无惧美国

普京访华行程敲定,特朗普已下命令,中国向全球通告,无惧美国

桑启红原
2026-04-20 20:19:05
“最难对付的敌人”:周末,真主党消灭以军超过一个排!

“最难对付的敌人”:周末,真主党消灭以军超过一个排!

胜研集
2026-04-20 18:04:11
揭开“白左圣母”的真面目

揭开“白左圣母”的真面目

名人苟或
2026-04-20 07:08:34
1983年,“收听敌台”的美女知青被执行死刑…

1983年,“收听敌台”的美女知青被执行死刑…

年代回忆
2026-04-20 20:03:54
震惊!网传深圳中专打工女伪造百亿富三代人设,收割尊界S800车主

震惊!网传深圳中专打工女伪造百亿富三代人设,收割尊界S800车主

火山詩话
2026-04-20 13:37:00
世锦赛战报:16强决出5席!中国2胜2负1领先,世界亚军4-10一轮游

世锦赛战报:16强决出5席!中国2胜2负1领先,世界亚军4-10一轮游

球场没跑道
2026-04-20 05:38:54
伊朗刚说不谈,美国立即开打

伊朗刚说不谈,美国立即开打

新民周刊
2026-04-20 11:37:54
太遗憾了!张雪机车荷兰站第7名收场,总积分落后杜卡迪、雅马哈

太遗憾了!张雪机车荷兰站第7名收场,总积分落后杜卡迪、雅马哈

削桐作琴
2026-04-20 16:25:31
台湾回归新方案浮出水面:国民党若同意,解放军或无需动武

台湾回归新方案浮出水面:国民党若同意,解放军或无需动武

老范谈史
2026-04-20 22:13:51
突发!340亿开源巨头彻底撤离中国,419名顶级工程师被疯抢,18年深耕终落幕…

突发!340亿开源巨头彻底撤离中国,419名顶级工程师被疯抢,18年深耕终落幕…

新浪财经
2026-04-20 04:31:06
中央层面整治形式主义为基层减负专项工作机制办公室 中央纪委办公厅公开通报4起整治形式主义为基层减负典型问题

中央层面整治形式主义为基层减负专项工作机制办公室 中央纪委办公厅公开通报4起整治形式主义为基层减负典型问题

新华社
2026-04-20 17:44:02
这五个号码千万不要接,一旦接听,银行卡里的钱都可能秒没

这五个号码千万不要接,一旦接听,银行卡里的钱都可能秒没

笑熬浆糊111
2026-04-20 00:05:15
为什么全国人民都在拒接电话?

为什么全国人民都在拒接电话?

黯泉
2026-04-18 17:00:56
李亚鹏,官宣了!4月17日晚,嫣然天使儿童医院告别14年租房模式

李亚鹏,官宣了!4月17日晚,嫣然天使儿童医院告别14年租房模式

一盅情怀
2026-04-20 14:38:27
拼多多暴力抗法震惊全网,市值万亿巨头为何如此嚣张

拼多多暴力抗法震惊全网,市值万亿巨头为何如此嚣张

燕梳楼频道
2026-04-20 21:12:04
世锦赛战报:六冠王7-10出局,16强决出7席中国3席!中国冠军1-8

世锦赛战报:六冠王7-10出局,16强决出7席中国3席!中国冠军1-8

求球不落谛
2026-04-21 00:55:34
德国机构得出结论:中国已经开始在所有领域,全力冲击美国的优势

德国机构得出结论:中国已经开始在所有领域,全力冲击美国的优势

趣文说娱
2026-04-20 19:46:45
6月1日起全国工地统一用工新规,明确60岁以上农民工上岗标准

6月1日起全国工地统一用工新规,明确60岁以上农民工上岗标准

阿嚼影视评论
2026-04-20 21:02:56
ASML现任CEO:中国一旦自主开发设备,放弃我们的光刻机,就有可能用稀土卡我们脖子

ASML现任CEO:中国一旦自主开发设备,放弃我们的光刻机,就有可能用稀土卡我们脖子

芯火相承
2026-04-20 19:29:49
2026-04-21 03:11:00
像素与芯片
像素与芯片
有态度网友ytd
2596文章数 18关注度
往期回顾 全部

科技要闻

HUAWEI Pura X Max发布 售价10999元起

头条要闻

19岁女孩挪用自家1700万当"榜一大姐" 亲爹带女儿自首

头条要闻

19岁女孩挪用自家1700万当"榜一大姐" 亲爹带女儿自首

体育要闻

阿森纳已拼尽全力,但你早干嘛去了...

娱乐要闻

《八千里路云和月》田家泰暗杀

财经要闻

利润暴跌7成,字节到底在做什么

汽车要闻

把天门山搬进厂?开仰望U8冲上45度坡的那刻 我腿软了

态度原创

房产
健康
游戏
家居
军事航空

房产要闻

大规模商改住!海口西海岸,这波项目要赢麻了!

干细胞抗衰4大误区,90%的人都中招

大司马回归两个月,某音人气稳居顶流行列,道出风光背后心酸现状

家居要闻

自然慢调 慢享时光

军事要闻

特朗普:美舰向伊朗货船开火炸出个洞

无障碍浏览 进入关怀版