WhoAMI আক্রমণ

সাইবার নিরাপত্তা গবেষকরা 'whoAMI' নামক একটি অভিনব বিভ্রান্তিকর আক্রমণ আবিষ্কার করেছেন। এই আক্রমণ হুমকিদাতাদের একটি নির্দিষ্ট নামের সাথে একটি Amazon Machine Image (AMI) প্রকাশ করে Amazon Web Services (AWS) অ্যাকাউন্টের মধ্যে কোড কার্যকর করতে সক্ষম করে। এই দুর্বলতার উল্লেখযোগ্য প্রভাব রয়েছে, কারণ এটি হাজার হাজার AWS অ্যাকাউন্টে অননুমোদিত অ্যাক্সেসের অনুমতি দিতে পারে।

ভুল কনফিগার করা AMI অনুসন্ধানগুলিকে কাজে লাগানো

এই আক্রমণের মূলে রয়েছে সরবরাহ শৃঙ্খল ম্যানিপুলেশন কৌশল। এর মধ্যে রয়েছে একটি হুমকিস্বরূপ AMI স্থাপন করা এবং ভুল কনফিগার করা সফ্টওয়্যারকে বৈধ সংস্করণের পরিবর্তে এটি ব্যবহার করার জন্য প্রতারণা করা। এই দুর্বলতা ব্যক্তিগত এবং ওপেন-সোর্স কোড রিপোজিটরি উভয় ক্ষেত্রেই বিদ্যমান, যা এটিকে একটি ব্যাপক উদ্বেগের বিষয় করে তুলেছে।

আক্রমণ কিভাবে কাজ করে

AWS যে কাউকে AMI প্রকাশ করার অনুমতি দেয়, যা ভার্চুয়াল মেশিনের ছবি যা ইলাস্টিক কম্পিউট ক্লাউড (EC2) ইন্সট্যান্স চালু করতে ব্যবহৃত হয়। আক্রমণটি এই সুযোগটি নেয় যে ডেভেলপাররা ec2:DescribeImages API ব্যবহার করে AMI অনুসন্ধান করার সময় --owners অ্যাট্রিবিউট নির্দিষ্ট করতে অবহেলা করতে পারে।

এই আক্রমণ সফল হওয়ার জন্য, নিম্নলিখিত শর্তগুলি পূরণ করতে হবে:

• AMI অনুসন্ধান একটি নাম ফিল্টারের উপর নির্ভর করে।
• অনুসন্ধানে মালিক, মালিক-উপনাম, অথবা মালিক-আইডি প্যারামিটার নির্দিষ্ট করা হয়নি।
• অনুরোধটি সবচেয়ে সাম্প্রতিক তৈরি চিত্রটি (most_recent=true) আনে।

যখন এই শর্তগুলি সামঞ্জস্যপূর্ণ হয়, তখন একজন আক্রমণকারী লক্ষ্যবস্তুর অনুসন্ধান প্যাটার্নের সাথে মিলে যাওয়া নামের সাথে একটি প্রতারণামূলক AMI তৈরি করতে পারে। ফলস্বরূপ, আক্রমণকারীর আপোস করা AMI ব্যবহার করে একটি EC2 ইনস্ট্যান্স চালু করা হয়, যা রিমোট কোড এক্সিকিউশন (RCE) ক্ষমতা প্রদান করে এবং শোষণ-পরবর্তী কার্যকলাপ সক্ষম করে।

নির্ভরতা বিভ্রান্তির আক্রমণের সাথে মিল

এই আক্রমণটি নির্ভরতা বিভ্রান্তির কাজে ব্যবহৃত হয়, যেখানে অনিরাপদ সফ্টওয়্যার নির্ভরতা (যেমন একটি পাইপ প্যাকেজ) বৈধ নির্ভরতাগুলিকে প্রতিস্থাপন করে। তবে, whoAMI আক্রমণে, আপোস করা রিসোর্সটি সফ্টওয়্যার নির্ভরতার পরিবর্তে একটি ভার্চুয়াল মেশিন ইমেজ।

অ্যামাজনের প্রতিক্রিয়া এবং নিরাপত্তা ব্যবস্থা

১৬ সেপ্টেম্বর, ২০২৪ তারিখে এই আক্রমণের প্রকাশের পর, অ্যামাজন তাৎক্ষণিকভাবে প্রতিক্রিয়া জানায় এবং তিন দিনের মধ্যে সমস্যাটির সমাধান করে। অ্যাপল আরও স্বীকার করেছে যে, যেসব গ্রাহক মালিকের মূল্য উল্লেখ না করে ec2:DescribeImages API এর মাধ্যমে AMI আইডি পুনরুদ্ধার করেন তারা ঝুঁকির মধ্যে থাকেন।

এই হুমকি কমাতে, AWS ২০২৪ সালের ডিসেম্বরে Allowed AMIs নামে একটি নতুন নিরাপত্তা বৈশিষ্ট্য চালু করে। এই অ্যাকাউন্ট-ব্যাপী সেটিং ব্যবহারকারীদের তাদের AWS অ্যাকাউন্টের মধ্যে AMIs আবিষ্কার এবং ব্যবহার সীমিত করতে দেয়, যা আক্রমণের পৃষ্ঠকে উল্লেখযোগ্যভাবে হ্রাস করে। নিরাপত্তা পেশাদাররা AWS গ্রাহকদের নাম বিভ্রান্তির আক্রমণ থেকে তাদের ক্লাউড পরিবেশকে সুরক্ষিত রাখতে এই নতুন নিয়ন্ত্রণ মূল্যায়ন এবং বাস্তবায়ন করার পরামর্শ দেয়।