عرض خصم التراخيص المتعددة
أمن الكمبيوتر هجوم whoAMI

هجوم whoAMI

بواسطة Mezo في أمن الكمبيوتر
ترجمة الى:
العربية

كشف باحثو الأمن السيبراني عن هجوم جديد لخلط الأسماء أطلق عليه اسم "whoAMI". يتيح هذا الهجوم للجهات الفاعلة المهددة تنفيذ التعليمات البرمجية داخل حسابات Amazon Web Services (AWS) من خلال نشر صورة Amazon Machine Image (AMI) باسم محدد. هذه الثغرة لها آثار كبيرة، حيث يمكن أن تسمح بالوصول غير المصرح به إلى آلاف حسابات AWS.

استغلال عمليات البحث AMI التي تم تكوينها بشكل غير صحيح

إن جوهر هذا الهجوم يكمن في تكتيك التلاعب بسلسلة التوريد. ويتضمن ذلك نشر برنامج AMI مهدد وخداع البرامج التي تم تكوينها بشكل خاطئ لاستخدامه بدلاً من الإصدار الشرعي. وتوجد هذه الثغرة في كل من مستودعات التعليمات البرمجية الخاصة والمفتوحة المصدر، مما يجعلها مصدر قلق واسع النطاق.

كيف يعمل الهجوم

تسمح AWS لأي شخص بنشر AMIs، وهي صور آلات افتراضية تُستخدم لتشغيل مثيلات Elastic Compute Cloud (EC2). يستغل الهجوم حقيقة مفادها أن المطورين قد يهملون تحديد سمة --owners عند البحث عن AMI باستخدام واجهة برمجة التطبيقات ec2:DescribeImages.

لكي ينجح هذا الهجوم، يجب توافر الشروط التالية:

  • يعتمد بحث AMI على مرشح الاسم.
  • لا يحدد البحث معلمات المالك أو الاسم المستعار للمالك أو معرف المالك.
  • يقوم الطلب بجلب الصورة التي تم إنشاؤها مؤخرًا (most_recent=true).

عندما تتوافق هذه الشروط، يمكن للمهاجم إنشاء AMI احتيالية باسم يطابق نمط البحث الخاص بالهدف. ونتيجة لذلك، يتم تشغيل مثيل EC2 باستخدام AMI المخترق للمهاجم، مما يمنح قدرات تنفيذ التعليمات البرمجية عن بُعد (RCE) وتمكين أنشطة ما بعد الاستغلال.

أوجه التشابه مع هجمات ارتباك التبعية

تحمل هذه الهجمة أوجه تشابه مع استغلالات ارتباك التبعيات، حيث تحل تبعيات البرامج غير الآمنة (مثل حزمة pip) محل التبعيات المشروعة. ومع ذلك، في هجوم whoAMI، يكون المورد المخترق عبارة عن صورة آلة افتراضية بدلاً من تبعية برنامج.

تدابير الاستجابة والأمن من أمازون

بعد الكشف عن هذا الهجوم في 16 سبتمبر 2024، استجابت أمازون على الفور وعالجت المشكلة في غضون ثلاثة أيام. كما أقرت Apple بأن العملاء الذين يستردون معرفات AMI من خلال واجهة برمجة التطبيقات ec2:DescribeImages دون تحديد قيمة المالك معرضون للخطر.

لتخفيف هذا التهديد، قدمت AWS ميزة أمان جديدة تسمى Allowed AMIs في ديسمبر 2024. يتيح هذا الإعداد على مستوى الحساب للمستخدمين تقييد اكتشاف واستخدام AMIs داخل حسابات AWS الخاصة بهم، مما يقلل بشكل كبير من سطح الهجوم. يوصي خبراء الأمن عملاء AWS بتقييم وتنفيذ هذا التحكم الجديد لحماية بيئات السحابة الخاصة بهم من هجمات خلط الأسماء.


جار التحميل...