WhoAMI атака
Изследователите на киберсигурността откриха нова атака за объркване на имена, наречена „whoAMI“. Тази атака позволява на участниците в заплахата да изпълняват код в акаунтите на Amazon Web Services (AWS), като публикуват Amazon Machine Image (AMI) с конкретно име. Тази уязвимост има значителни последици, тъй като може да позволи неоторизиран достъп до хиляди AWS акаунти.
Съдържание
Използване на неправилно конфигурирани AMI търсения
Ядрото на тази атака се крие в тактика за манипулиране на веригата за доставки. Това включва внедряване на заплашителен AMI и подвеждане на неправилно конфигуриран софтуер да го използва вместо легитимната версия. Тази уязвимост присъства както в частни, така и в хранилища на код с отворен код, което я прави широко разпространено безпокойство.
Как работи атаката
AWS позволява на всеки да публикува AMI, които са изображения на виртуални машини, използвани за стартиране на екземпляри на Elastic Compute Cloud (EC2). Атаката се възползва от факта, че разработчиците може да пренебрегнат да посочат атрибута --owners, когато търсят AMI, използвайки ec2:DescribeImages API.
За да успее тази атака, трябва да бъдат изпълнени следните условия:
- Търсенето на AMI разчита на филтър за имена.
- Търсенето не посочва параметрите на собственика, псевдонима на собственика или ID на собственика.
- Заявката извлича най-скоро създаденото изображение (most_recent=true).
Когато тези условия се съгласуват, нападателят може да създаде измамен AMI с име, съответстващо на модела за търсене на целта. В резултат на това екземпляр на EC2 се стартира с помощта на компрометирания AMI на атакуващия, предоставяйки възможности за дистанционно изпълнение на код (RCE) и позволявайки дейности след експлоатация.
Прилики с атаки на объркване на зависимости
Тази атака има прилики с объркване на зависимости, при което опасни софтуерни зависимости (като pip пакет) заменят легитимните. При атаката на whoAMI обаче компрометираният ресурс е изображение на виртуална машина вместо софтуерна зависимост.
Отговорът на Amazon и мерките за сигурност
След разкриването на тази атака на 16 септември 2024 г. Amazon реагира незабавно и адресира проблема в рамките на три дни. Apple също така призна, че клиентите, които извличат AMI ID чрез ec2:DescribeImages API, без да посочват стойност на собственика, са изложени на риск.
За да смекчи тази заплаха, AWS въведе нова функция за сигурност, наречена Allowed AMIs през декември 2024 г. Тази настройка за целия акаунт позволява на потребителите да ограничат откриването и използването на AMI в своите AWS акаунти, като значително намалява повърхността на атаката. Специалистите по сигурността препоръчват на клиентите на AWS да оценят и внедрят този нов контрол, за да защитят своите облачни среди от атаки с объркване на имена.