文章总结： 一项安全研究揭示了废弃云存储基础设施带来的巨大供应链安全风险。研究团队在两个月内注册了约150个被弃用的AmazonS3存储桶，拦截了超过800万次来自全球政府、军队、银行及科技公司等敏感组织的请求。这些存储桶曾被用于分发软件更新、虚拟机镜像、云部署模板等关键数据。研究发现，攻击者可借此劫持请求，实施恶意软件分发、云环境接管、网络渗透及供应链投毒等攻击，其影响可能比SolarWinds攻击更广泛。 综合评分： 95 文章分类： 供应链安全,漏洞分析,威胁情报,安全建设,云安全

800万次请求后，我们发现了一个让SolarWinds攻击看起来像”业余作品”的供应链漏洞

佚名 佚名

源影安全团队

2026年3月22日 17:34 北京

本文基于 watchTowr Labs 的安全研究整理，揭示了废弃云存储基础设施带来的巨大供应链安全风险。

https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/

前言

当提到供应链攻击时，我们往往会想到 SolarWinds、XZ/liblzma 这些”国家级”攻击者精心策划的复杂攻击。但如果告诉你，只需要花400美元，就能发起一个影响范围可能更大的供应链攻击呢？

watchTowr 安全团队最近的一项研究揭示了一个令人震惊的事实：大量被弃用的 Amazon S3 存储桶仍在接收来自全球敏感组织的请求，包括政府、军队、银行和网络安全公司。

研究背景

什么是 S3 存储桶接管？

Amazon S3 是一种广泛使用的云存储服务，许多组织用它来托管：

• 软件更新包
• 安装程序和二进制文件
• 虚拟机镜像
• JavaScript 文件
• CloudFormation 模板
• 配置文件

当这些存储桶被弃用但未正确处理时，任何人都可以注册同名存储桶，从而拦截所有指向该存储桶的请求。

这不是新问题，但 watchTowr 团队想验证一个更大的问题：除了网站静态资源，还有多少敏感系统在从这些废弃存储桶获取数据？

研究发现

惊人的数据

在两个月内，研究团队注册了约 150 个被弃用的 S3 存储桶，结果令人震惊：

| 指标 | 数据 | | — | — | | 总请求数 | 800万+ | | 注册成本 | 约400美元 | | 存储桶数量 | 约150个 | | 研究周期 | 2个月 |

请求来源

这些请求来自一些”相当重要”的组织：

• 政府网络：美国（包括 NASA）、英国、波兰、澳大利亚、韩国、土耳其、台湾、智利等
• 军事网络：包括 .mil 域名
• 财富 100/500 强公司
• 主要支付卡网络
• 全球和区域性银行
• 网络安全技术公司
• 赌场
• 全球大学

危险案例一览

案例1：CISA 的”安全补丁”

危险等级：CISA 让你安装的”安全补丁”可能会把你的硬盘内容发送给攻击者

美国网络安全与基础设施安全局（CISA.gov）2012年的一份工业控制系统公告中，引用了一个已废弃的 S3 存储桶来提供补丁可执行文件。

问题：

• 补丁文件未经签名验证
• 存储桶已被废弃
• 从权威来源 cisa.gov 引用

攻击者可以注册该存储桶，以”安全补丁”的名义分发勒索软件。

案例2：主流杀毒软件的 Linux 代理

危险等级：糟糕的安全卫生状况，但并非世界末日

研究发现某主流杀毒软件厂商曾通过 S3 存储桶分发 Linux/RedHat 的更新包（apt/yum 仓库）。

虽然 apt/yum 有 GPG 签名保护，不易被直接利用，但这反映了安全厂商自身的基础设施管理问题。

案例3：SSLVPN 设备供应商的云部署模板

危险等级：可导致整个 AWS 环境被接管

研究发现某主流 SSLVPN 供应商的多个废弃 S3 存储桶被用于：

• CloudFormation 模板

  ：用于自动部署云基础设施

• 设备配置文件

  ：包含证书、密钥、路由信息

• 自动扩容配置

  ：新设备启动时自动拉取配置

攻击场景：

• 部署恶意 IAM 角色
• 授予外部账户访问权限
• 部署云勒索软件
• 获取 SSLVPN 设备的完全控制权

案例4：虚拟机镜像

危险等级：整个信任链被破坏

研究发现有系统从废弃 S3 存储桶获取 Vagrant 虚拟机镜像：

requestParameters.key: bosh-lite-virtualbox-ubuntu-trusty-293.box
userAgent: Vagrant Cloud/1.0

从不可信来源获取虚拟机镜像意味着：

• 攻击者可以添加后门用户
• 植入远程访问工具
• 部署勒索软件
• 嗅探凭据

案例5：macOS 应用的自动更新

危险等级：社会工程学攻击的完美载体

Sparkle 是 macOS 应用广泛使用的自动更新框架。研究发现大量应用从废弃 S3 存储桶获取 appcast.xml 更新清单。

虽然 Sparkle 会验证应用签名，但未签名的清单文件仍可用于：

• 社会工程学攻击

  ：诱导用户下载恶意更新

• 发布说明篡改

  ：展示虚假的更新信息

受害者包括：政府 IP 段、军事网络、近 3000 个不同源 IP 地址。

案例6：构建依赖劫持

危险等级：整个构建过程被破坏，彻底完了

研究发现超过 100 万次 请求指向废弃的 Maven 仓库（.pom 文件），其中 fabric-artifacts-private 存储桶曾是 fabric.io 包的官方来源。

影响：

• 构建服务器即时 RCE
• 恶意代码注入下游软件包
• 供应链攻击的连锁反应

时间窗口：长达9年的”利用窗口”

最令人担忧的是这些存储桶被废弃的时间。

以 mozilla-games 存储桶为例：

• 2015年3月

  ：从 emscripten 文档中移除

• 2024年

  ：仍有请求尝试获取可执行文件

这意味着攻击者有长达9年的时间窗口来劫持这个存储桶！

攻击影响总结

如果这些存储桶落入恶意攻击者手中，可能的攻击包括：

| 攻击类型 | 影响 | | — | — | | 恶意软件分发 | 通过”合法”渠道传播勒索软件、后门 | | 云环境接管 | 通过恶意 CloudFormation 模板控制 AWS 环境 | | 网络渗透 | 通过 SSLVPN 配置文件获取内网访问权限 | | 供应链投毒 | 在构建过程中注入恶意代码 | | 凭据窃取 | 通过后门程序窃取敏感信息 |

结语

这项研究揭示了一个令人不安的事实：我们的供应链比想象中更加脆弱。

问题的根本不在于亚马逊或 S3，而在于一种心态——认为互联网基础设施”来得容易，去得也容易”。在注册域名只需几美元、创建存储桶几乎免费的世界里，我们很容易忽视维护这些资源的责任。

“不要接受陌生人的糖果”——这个童年教诲在数字世界同样适用。

参考资料

• 原文：watchTowr Labs – 8 Million Requests Later, We Made The SolarWinds Supply Chain Attack Look Amateur
• 相关研究：废弃 WHOIS 基础设施安全研究

⚠️ 免责声明：本文仅供安全研究和教育目的。watchTowr 团队在发布研究前已与相关机构（包括英国 NCSC、AWS、CISA 等）协调，所有涉及的存储桶已被设置为”黑洞”状态，不再存在安全风险。

关注我们，获取更多安全研究资讯

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：源影安全团队 佚名 佚名《800万次请求后，我们发现了一个让SolarWinds攻击看起来像”业余作品”的供应链漏洞》