Die 7 größten Sicherheitslücken Cloud

In Cloud-Umgebungen kann jede Entscheidung hinsichtlich Dienstleistungen, Integration und Konfiguration ihre eigenen Risiken mit sich bringen. Mit zunehmender Verbreitung der Cloud wächst auch die Angriffsfläche. 

In diesem Beitrag stellen wir sieben Cloud-Sicherheit vor, mit denen Teams heute konfrontiert sind. Wir erklären, wie jede einzelne davon funktioniert, welche Auswirkungen sie hat und was Sie tun können, um sie zu mindern oder ganz zu verhindern.

Die 7 wichtigsten Cloud-Sicherheit auf einen Blick:

• IMDS-Sicherheitslücke 
• Kubernetes-Sicherheitslücken
• Schwache Netzwerksegmentierung
• FluentBit-Sicherheitslücken 
• Schwachstellen in Container
• Falsch konfigurierte Firewalls
• Falsch konfigurierte serverlose Funktionen 

Was sind Sicherheitslücken Cloud ?

Cloud sind Schwachstellen oder Fehlkonfigurationen in Ihrer Cloud-Umgebung, die Angreifer ausnutzen können, um die zugrunde liegende Infrastruktur, auf der Ihre Anwendungen laufen, oder andere Teile Ihrer Cloud-Konfiguration zu kompromittieren.

Cloud hat sich als Reaktion auf den Wandel von on-premise hin zu Cloud-nativen Umgebungen entwickelt. In der Vergangenheit hatte jedes Unternehmen sein eigenes Bereitstellungsmodell, sodass nicht alle Angriffsvektoren für alle Unternehmen gleichermaßen relevant waren. Das ist heute nicht mehr der Fall.

Die Cloud schafft gleiche Wettbewerbsbedingungen. Teams nutzen ähnliche Dienste, ähnliche Standardeinstellungen und ähnliche Bereitstellungsmuster. Das bedeutet, dass viele Unternehmen letztendlich die gleichen Fehler machen. Beispielsweise geben Unternehmen häufig vertrauliche Informationen durch falsch konfigurierten Objektspeicher preis, und Angreifer haben gelernt, dies bei mehreren Zielen zu erkennen. 

Um zu verstehen, welche Dienste und Konfigurationen zu Angriffsvektoren werden können, müssen Sie zunächst Ihre eigene Infrastruktur bewerten und prüfen, wie jede Komponente exponiert ist.

Häufige Gründe für Sicherheitslücken in Cloud

Im Folgenden sind einige Gründe aufgeführt, warum wir immer wieder mit Cloud-Sicherheit konfrontiert sind: 

• Entwickelnde : Teams werden dazu gedrängt, schnell zu liefern, und Geschwindigkeit geht oft vor Sicherheit. Die Verwendung der „neuesten“ Version eines container oder -Pakets ist schnell, aber in einer Welt zunehmender Lieferkettenangriffe kann „neueste“ leicht eine infizierte oder kompromittierte Version sein.
  
  
• Fehlende Sicherheitsvorkehrungen: Schnelles Handeln sollte keine Sicherheitslücken schaffen, aber ohne angemessene Kontrollen führen Teams unbeabsichtigt Risiken in die Umgebung ein.
  
  
• Nicht integrierte Sicherheitstools: Entwickler verfügen möglicherweise über Tools für das Scannen von Images oder die statische Analyse, aber diese Tools sind selten Teil eines wiederholbaren, automatisierten Workflows. Dadurch wird die Sicherheit inkonsistent und leicht zu umgehen.
  
  
• Unklare Zuständigkeiten: Sicherheit wird immer noch als eine Art Checkbox behandelt oder als etwas, das von einem separaten Team verwaltet wird. Durch unklare Zuständigkeiten und ein mangelndes Verständnis dafür, wie „gute Sicherheit“ insbesondere im Bereich IAM aussieht, schlüpfen Schwachstellen durch.

Wie Angreifer Sicherheitslücken Cloud ausnutzen

Wie Sie gleich sehen werden, nutzen Angreifer häufig einen legitimen Dienst, um sich Zugang zu Ihrer Infrastruktur zu verschaffen. Dies kann über einen öffentlichen S3-Bucket mit Schreibzugriff oder einen öffentlichen Endpunkt geschehen, woraufhin sie ihre Berechtigungen durch Missbrauch von IAM-Rollen oder falsch konfigurierten Ressourcen ausweiten.

Für einen Angreifer besteht die Strategie darin, Ressourcen zu nutzen, die am wenigsten Verdacht erregen, und diese zu verwenden, um so viele Daten wie möglich zu exfiltrieren. In den folgenden Abschnitten gehen wir näher darauf ein. 

Die 7 größten Sicherheitslücken Cloud

Nachdem wir nun wissen, was Cloud-Sicherheit sind, kommen wir zu den sieben wichtigsten Cloud-Sicherheit :

1. IMDS-Sicherheitslücke 

Der Instance Metadata Service (IMDS) ist ein Dienst, der bei jedem Cloud-Anbieter ausgeführt wird und einen Rechen-Service bereitstellt, mit dem temporäre Anmeldeinformationen von Anwendungen verwendet werden können, die auf Cloud-Computing-Diensten ausgeführt werden. Dadurch können Dienste sicher auf andere Cloud-Dienste zugreifen, ohne dass Anmeldeinformationen auf dem Computer fest codiert werden müssen.

Wie zu erwarten war, wurde dies in letzter Zeit missbraucht. Ein Beispiel hierfür ist CVE-2025-51591, das Systeme betraf, auf denen Pandoc, ein Dienstprogramm zur Dokumentkonvertierung, ausgeführt wurde.

The attacker submitted crafted HTML documents containing <iframe> elements whose src attributes targeted the AWS IMDS endpoint at 169.254.169.254. The objective was to render and exfiltrate the content of sensitive paths, specifically /latest/meta-data/iam/info and /latest/meta-data/iam.

The vulnerability in panic has since been patched. However, the attack was neutralized by the mandatory use of IMDSv2, which invalidates stateless GET requests, such as those initiated by an <iframe>. If the application were running in an environment still dependent on the IMDSv1 protocol, this attack vector would likely have resulted in credential compromise.

Obwohl Pandoc eine spezifische Ausnutzung eines legitimen Dienstes darstellt, ist es wichtig, darauf zu achten, wie Ihre Anwendungen mit dem Host interagieren. Da Pandoc ein Linux-Dienstprogramm ist, das auf der Instanz installiert werden musste, zeigt dies, wie selbst scheinbar harmlose Tools zu Angriffsvektoren werden können, wenn sie mit sensiblen Cloud-Diensten interagieren.

Schweregrad: Mittel → Hoch

2. Schwachstellen in Kubernetes

CVE-2020-8559 wurde über das Kubernetes-Bug-Bounty-Programm bekannt gegeben und ist eine Sicherheitslücke, die das Standard-Dienstkontotoken missbraucht, um eine Rechteausweitung innerhalb von Kubernetes-Clustern zu ermöglichen.

Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte zu einer Rechteausweitung von einem kompromittierten Knoten auf Cluster-Ebene führen. Wenn mehrere Cluster dieselbe vom Client vertraute Zertifizierungsstelle und dieselben Authentifizierungsdaten verwenden, könnte ein Angreifer den Client möglicherweise auf einen anderen Cluster umleiten, was zu einer vollständigen Kompromittierung des Clusters führen würde.

Wenn Sie Kubernetes jemals in der Produktion eingesetzt haben, wissen Sie, warum dies ein Problem ist. Cluster-Upgrades sind selten so einfach wie ein Klick auf „Upgrade“ und fertig. Wenn Sie festgelegte Prozesse haben, ist es schwierig, diese zu durchbrechen. CVE-2020-8559 erforderte von den Benutzern ein Upgrade des kube-apiserver auf gepatchte Versionen: v1.18.6, v1.17.9 oder v1.16.13.

Bei einer vollständigen Cluster-Übernahme ist es nicht schwer zu erkennen, wie kompromittierte Knoten in Verbindung mit IMDS missbraucht werden können, um weiter in Ihre Cloud-Umgebung vorzudringen, auf Anmeldedaten zuzugreifen und sich seitlich zu anderen Diensten zu bewegen. 

Schweregrad: Hoch → Kritisch

3. Schwache Netzwerksegmentierung

Nicht jeder Angriff ist ausgeklügelt; manchmal ist es die Nichtbeachtung grundlegender Sicherheitsmaßnahmen, die dazu führt, dass viele Unternehmen in die Schlagzeilen geraten. Ein Beispiel hierfür ist die Segmentierung Ihrer Netzwerke.

Die Netzwerksegmentierung ist zwar nicht spezifisch für die Cloud, doch die Komplexität der Cloud macht eine ordnungsgemäße Segmentierung wesentlich schwieriger und die Auswirkungen bei Fehlern umso gravierender. Durch Cloud kommt es sehr häufig zu Fehlern bei der Segmentierung.

Für kleine Teams mit ein oder zwei Diensten auf wenigen VMs mag dies übertrieben sein, aber für erfahrenere Teams, die mehrere Dienste über Verfügbarkeitszonen oder sogar Multi-Clouds hinweg betreiben, ist eine flache Struktur, in der sich alle Dienste im selben Netzwerk befinden und es kaum oder gar keine Sicherheitsrichtlinien gibt, ein Rezept für eine Katastrophe.

Der Target-Hack von 2013 ist ein Paradebeispiel dafür, was passiert, wenn Netzwerke nicht richtig segmentiert sind. Die Angreifer kompromittierten zunächst einen externen HVAC-Anbieter mit Zugriff auf das Netzwerk von Target und bewegten sich dann lateral durch die flache Netzwerkarchitektur, um die Zahlungskartensysteme zu erreichen. Letztendlich stahlen sie 40 Millionen Kreditkartennummern und 70 Millionen Kundendatensätze. Eine ordnungsgemäße Netzwerksegmentierung hätte den Datenverstoß auf die HLK-Systeme beschränkt und den Zugriff auf sensible Zahlungsinfrastrukturen verhindert, während gleichzeitig compliance erfüllt worden wären.

Durch den Einsatz von Cloud Posture Management (CSPM) -Tools können Sie sich schnell einen Überblick über die Struktur Ihrer Cloud-Umgebung verschaffen und herausfinden, welche Teile Ihres Netzwerks eine Überprüfung Ihrer Cloud-Architektur erfordern, um ähnliche laterale Bewegungsangriffe zu verhindern. All dies steht im Zusammenhang mit dem Konzept der Zero-Trust-Sicherheit als neuer Standard fürIhre Cloud-Architektur, das Sie bei Ihren compliance unterstützen kann. 

Schweregrad: Mittel -> Hoch

4. FluentBit-Sicherheitslücken

Obwohl es sich hierbei um eine Reihe neuer Schwachstellen handelt, ist Fluent Bit seit langem eine Kernkomponente des Cloud-nativen Ökosystems und bietet einen leichtgewichtigen Agenten für die Übertragung von Cloud-Protokollen und Metriken an Remote-Backends. Dies ist für Microservices, die eine zentralisierte Protokollierung oder groß angelegte Protokollsicherungen erfordern, von entscheidender Bedeutung.

In a series of vulnerabilities disclosed in early 2025, CVE-2025-12972, CVE-2025-12970, CVE-2025-12978, CVE-2025-12977, and CVE-2025-12969, attackers can exploit path traversal flaws, buffer overflows, tag spoofing, and authentication bypasses to execute arbitrary code, tamper with logs, and inject malicious telemetry. These vulnerabilities affect versions 4.1.x < 4.1.1 and 4.0.x < 4.0.12.

Im schlimmsten Fall können diese Schwachstellen zu einer vollständigen Kompromittierung der Cloud-Umgebung führen, insbesondere wenn Fluent Bit mit erhöhten Berechtigungen ausgeführt wird oder Zugriff auf sensible Anmeldedaten hat.

Die Umgehung der Authentifizierung (CVE-2025-12969) ist besonders besorgniserregend für Konfigurationen, die Security.Users ohne Shared_Key verwenden, wodurch die Authentifizierung vollständig deaktiviert werden kann. Dadurch können Angreifer aus der Ferne böswillige Aktivitäten verbergen oder Protokolle exfiltrieren, während die Betreiber glauben, dass ihre Systeme sicher sind.

CVE-2025-12972 ist ebenfalls kritisch, da es aufgrund von nicht bereinigten Tag-Werten, die zur Generierung von Ausgabedateinamen verwendet werden, vollständigen Fernzugriff ermöglicht, wodurch Angreifer Dateien auf die Festplatte schreiben können.

Ähnlich wie bei der SSH-Sicherheitslücke wird Fluent Bit in der Regel in einer Reihe von Instanzen in Cloud-Umgebungen eingesetzt. Aus diesem Grund ist es unerlässlich, ein Tool zu nutzen, das vollständige Transparenz über Ihre Instanzen bietet und Ihnen dabei hilft, zu priorisieren, welche Instanzen zuerst gepatcht werden sollten.

Schweregrad: Hoch -> Kritisch

5. Sicherheitslücken in Container

Container könnten einen ganzen Artikel füllen, was wir auch getan haben. Lesen Sie ihn hier. Im Laufe der Jahre haben sich container dank Docker und dem breiteren Cloud-nativen Ökosystem massiv durchgesetzt. Diese Popularität macht sie auch zu einem attraktiven Ziel für Angreifer, wie das Beispiel Fluent Bit zeigt, das allein in einer einzigen Woche im November 4,7 Millionen Mal heruntergeladen wurde.

Eine Kompromittierung oder kritische Sicherheitslücke wie CVE-2025-12972 könnte für viele Unternehmen katastrophale Folgen haben.

Die Verwaltung mehrerer container in großem Maßstab ist eine Herausforderung. Teams verlassen sich oft auf verschiedene Versionen desselben Images, und nicht alle Sicherheitswarnungen sind umsetzbar. Die Überwachung Container ist daher ein kontinuierlicher Prozess und keine einmalige Aufgabe. 

Aikido bei Aikido wissen, dass das Verwalten container nicht einfach nur eine Frage des „Aktualisierens“ ist. Jeder, der dies schon einmal in der Produktion versucht hat, weiß, wie schwierig das sein kann.  Das einfache Umstellen auf das neueste Image kann Ihren Build zerstören, Laufzeitabhängigkeiten unterbrechen und subtile Fehler verursachen, die nur in der Produktion auftreten. Aus diesem Grund haben wir uns mit den Leuten von Root.io zusammengetan, um Ihnen Autofix anzubieten, mit dem Sie Ihr Basis-Image mit einem Klick aktualisieren können.

Schweregrad: Mittel -> Hoch 

6. Falsch konfigurierte Firewalls

Im Jahr 2019 erlebte Capital One einen bedeutenden Cloud-Sicherheit , von dem über 100 Millionen Kunden betroffen waren. Der Angriff war ein kostspieliges Beispiel dafür, wie eine einzige Fehlkonfiguration zu einem umfassenden Datenverstoß führen kann.

Der Angreifer nutzte eine SSRF-Sicherheitslücke (Server-Side Request Forgery) in Anwendungs-Firewall WAF) von Capital One aus, um auf den AWS Instance Metadata Service zuzugreifen. SSRF ermöglicht es einem Angreifer, seine Webanfrage an eine beliebige IP-Adresse seiner Wahl weiterzuleiten, und ist eine bekannte Sicherheitslücke. 

Durch den Datenverstoß wurden personenbezogene Daten von etwa 100 Millionen Menschen in den Vereinigten Staaten und 6 Millionen Menschen in Kanada offengelegt, darunter Namen, Adressen, Bonitätsbewertungen und Sozialversicherungsnummern.

Besonders besorgniserregend ist, dass die WAF, ein Sicherheitstool zum Schutz von Anwendungen, selbst zum Angriffsvektor wurde. Wäre die WAF ordnungsgemäß konfiguriert oder IMDSv2 durchgesetzt worden, wäre der Angriff wesentlich schwieriger durchzuführen gewesen. Die Erkenntnis daraus ist, dass selbst Ressourcen, die für die Infrastruktur gedacht sind, bei unsachgemäßer Konfiguration zu einem Angriffsvektor werden können. 

Schweregrad: gering -> mittel

7. Falsch konfigurierte serverlose Funktionen

Serverlose Funktionen haben aufgrund ihrer einfachen Bereitstellung, ihrer breiten Sprachunterstützung und des Wegfalls der Serververwaltung die Herzen vieler Entwickler erobert. Dies vermittelt den Eindruck, dass serverlose Funktionen standardmäßig sicher sind. 

In Wirklichkeit bieten serverlose Funktionen Angreifern eine einzigartige Gelegenheit, übermäßig freizügige Identitäts- und Zugriffsverwaltungsrollen auszunutzen und weitgehend unentdeckt zu bleiben.

Beispielsweise könnte ein Angreifer eine Lambda-Funktion mit einer zu freizügigen s3:*-IAM-Richtlinie ausnutzen, um sensible Daten aus jedem S3-Bucket in Ihrem Konto zu exfiltrieren, während die Funktion scheinbar ihre legitimen Aufgaben erfüllt. 

Schweregrad: gering -> mittel (abhängig von den IAM-Richtlinien der serverlosen Funktion) 

Wie Sie Cloud -Sicherheitslücken sichtbar machen

Unter Cloud-Sicherheit modernen Cloud-Sicherheit Aikido die umfassendste und entwicklerfreundlichste Option. Sie bietet Teams vollständige Transparenz über ihre gesamte Cloud hinweg, von Fehlkonfigurationen bis hin zu anfälligen VMs, container , Kubernetes-Workloads und IaC – alles in einer einzigen einheitlichen Ansicht ohne Störfaktoren oder Duplikate.

Aikido agentenlosesOnboarding, VM-Scan, CSPM, Kubernetes- und container -Scans, IaC-Kontrollen und sogar KI-Autofix für container . Teams können mit Cloud-Posture-Management beginnen und dann auf Code, container oder API-Sicherheit ausdehnen, ohne mehrere Tools einsetzen zu müssen.

Ganz gleich, ob Sie eine schlanke Umgebung sichern oder Tausende von Ressourcen verwalten – Aikido Sie sich auf die wichtigsten Risiken konzentrieren, Ihre Angriffsfläche schnell reduzieren und eine unübersichtliche Vielzahl von Tools vollständig vermeiden. All dies über eine einzige Plattform, die sowohl für Sicherheits- als auch für Engineering-Teams entwickelt wurde.

Fazit 

Bei Cloud geht es nicht nur darum, Schwachstellen zu beheben, sondern auch darum, einen vollständigen Überblick über Ihre Infrastruktur, Ihren Code und Ihre Abhängigkeiten zu gewinnen und auf die wichtigsten Risiken zu reagieren.

Mit Aikido können Teams Cloud-Überwachung, Code-Scanning und Supply-Chain-Sicherheit auf einer einzigen Plattform vereinen, Bedrohungen anhand des tatsächlichen Risikos priorisieren und proaktive Maßnahmen ergreifen, bevor Angreifer zuschlagen.

Wenn Sie bereit sind, den nächsten Schritt zur Sicherung Ihrer Cloud-Umgebung zu gehen, legen Sie kostenlos los und überzeugen Sie sich selbst, wie einfach, entwicklerfreundlich und effektiv Cloud-Sicherheit sein Cloud-Sicherheit !

FAQ

Wie tragen Fehlkonfigurationen zu Cloud-Sicherheit bei und wie können sie verhindert werden?

Cloud , wie offene Speicher-Buckets, übermäßige Berechtigungen oder fehlerhafte Netzwerkeinstellungen, können sensible Daten oder Systeme Angreifern zugänglich machen. Zur Vorbeugung sollten Cloud-Umgebungen regelmäßig überprüft, das Prinzip der geringsten Berechtigungen durchgesetzt, automatisierte Konfigurationsmanagement-Tools eingesetzt und Abweichungen kontinuierlich überwacht werden. Plattformen wie Aikido helfen dabei, fehlerhafte Konfigurationen in Multi-Cloud-Umgebungen zu erkennen.

Wie wirken sich Insider-Bedrohungen auf Cloud-Sicherheit aus und wie können sie gemindert werden?

Insider-Bedrohungen, ob böswillig oder unbeabsichtigt, können Cloud-Sicherheit gefährden Cloud-Sicherheit sie Daten weitergeben, Hintertüren schaffen oder Zugriffsrechte missbrauchen. Zu den Strategien zur Risikominderung gehören die Implementierung strenger Zugriffskontrollen, die Überwachung der Benutzeraktivitäten, die Durchsetzung einer Multi-Faktor-Authentifizierung und die Schulung der Mitarbeiter in Bezug auf bewährte Sicherheitsverfahren. Fortschrittliche Plattformen wie Aikido können ungewöhnliches Benutzerverhalten überwachen, um Teams auf potenzielle Insider-Risiken aufmerksam zu machen.

Welche Tools und Technologien erkennen und beheben Cloud-Sicherheit wichtigsten Cloud-Sicherheit effektiv?

Cloud Posture Management (CSPM), Cloud Protection Platforms (CWPP),Cloud Application Protection Platforms (CNAPP) , Schwachstellenscanner und automatisierte compliance helfen dabei, Schwachstellen zu erkennen und zu beheben. KI-gesteuerte Lösungen können komplexe Angriffspfade verfolgen und Bedrohungen priorisieren. Aikido integriert diese Funktionen und bietet KI-gestützte Erkennung und Behebung in Echtzeit für Code, Abhängigkeiten und Cloud-Ressourcen.

Welche Rolle spielen unsichere APIs in Cloud-Sicherheit und wie können sie gesichert werden?

Unsichere APIs können sensible Daten offenlegen, unbefugten Zugriff ermöglichen oder als Einstiegspunkte für Angriffe dienen. Zu den bewährten Verfahren gehören strenge Authentifizierung und Autorisierung, Eingabevalidierung, Ratenbegrenzung, Verschlüsselung und kontinuierliche Überwachung. Durch die Integration API-Sicherheit eine umfassendere Sicherheitsplattform wie Aikido wird sichergestellt, dass APIs kontinuierlich auf Schwachstellen und böswillige Aktivitäten analysiert werden.

Das könnte Ihnen auch gefallen:

• Wiz besten Wiz
• Die besten CNAPP
• Top CSPM Tools