安全厂商指出，虽然已经有前例证实，云计算服务企业安装客户不知道的软件引发安全风险，但许多云计算企业迄今仍然还有这行为。

本周在RSA 2022大会上，安全厂商Wiz公布三大公有云企业中不为人知，但有漏洞的中间件（middleware），显示云计算企业在未清楚告知或在用户全然不知情下安装中间件情况仍相当普遍。

这是该公司继去年一项Azure云计算漏洞发现后的后续研究。去年Wiz披露风险值9.8的OMIGOD远程程序执行（RCE）漏洞，是发生在Open Management Infrastructure（OMI）代理程序中，当Azure启动Linux VM时会暗中自动安装，以致于用户在不知情下曝险。

Wiz上周公布的资料仅列出Azure、AWS及Google Cloud内安装的12项中间件，包含一些过去发生过漏洞者，包括Microsoft Azure Guest Agent（WALinuxAgent）关键资源许可分配不正确漏洞（CVE-2019-0804，CVSS 6.5）、AWS Systems Manager Agent的本地权限升级（LPE）到根目录执行漏洞（CVE-2022-29527，CVSS 7.0）、Google Accounts Daemon的LPE到根目录执行漏洞（CVE-2020-8933，CVSS 7.8）、以及Google osconfig agent的LPE漏洞。这些漏洞已经修补。

不过研究人员指出，这些中间件是对接用户虚拟机和云计算企业托管基础架构的角色，可能使客户暴露于攻击表面。另一个问题是，这类中间件冒出漏洞时，修补责任在谁身上并不明确。研究人员以去年OMIGOD为例说明，当微软发布修补程序时，Azure用户必须自己安装，但是用户自己并不知道有漏洞。

研究人员认为确保修户安全的最好方法是要求企业清楚说明，它们集成在用户虚拟机的第三方软件。