Cotització de descompte per a múltiples llicències
Seguretat informàtica Atac whoAMI

Atac whoAMI

El Mezo el Seguretat informàtica
Traduir a:
Català

Els investigadors de ciberseguretat han descobert un nou atac de confusió de noms anomenat "whoAMI". Aquest atac permet als actors d'amenaça executar codi als comptes d'Amazon Web Services (AWS) mitjançant la publicació d'una imatge de màquina d'Amazon (AMI) amb un nom específic. Aquesta vulnerabilitat té implicacions importants, ja que podria permetre l'accés no autoritzat a milers de comptes d'AWS.

Explotació de cerques d'AMI mal configurades

El nucli d'aquest atac rau en una tàctica de manipulació de la cadena de subministrament. Implica desplegar una AMI amenaçadora i enganyar programari mal configurat perquè l'utilitzi en comptes de la versió legítima. Aquesta vulnerabilitat està present tant als dipòsits de codi privats com de codi obert, la qual cosa la converteix en una preocupació generalitzada.

Com funciona l'atac

AWS permet que qualsevol persona publiqui AMI, que són imatges de màquines virtuals que s'utilitzen per llançar instàncies d'Elastic Compute Cloud (EC2). L'atac aprofita el fet que els desenvolupadors poden deixar d'especificar l'atribut --owners quan cerquen una AMI mitjançant l'API ec2:DescribeImages.

Perquè aquest atac tingui èxit, s'han de complir les condicions següents:

  • La cerca AMI es basa en un filtre de noms.
  • La cerca no especifica els paràmetres de propietari, àlies de propietari o ID de propietari.
  • La sol·licitud obté la imatge creada més recentment (most_recent=true).

Quan aquestes condicions s'alineen, un atacant pot crear una AMI fraudulenta amb un nom que coincideixi amb el patró de cerca de l'objectiu. Com a resultat, es llança una instància EC2 utilitzant l'AMI compromesa de l'atacant, atorgant capacitats d'execució de codi remota (RCE) i habilitant activitats posteriors a l'explotació.

Similituds amb els atacs de confusió de dependència

Aquest atac té similituds amb les explotacions de confusió de dependències, on les dependències de programari no segures (com ara un paquet pip) substitueixen les legítimes. Tanmateix, en l'atac whoAMI, el recurs compromès és una imatge de màquina virtual en lloc d'una dependència de programari.

Mesures de seguretat i resposta d'Amazon

Després de la divulgació d'aquest atac el 16 de setembre de 2024, Amazon va respondre ràpidament i va abordar el problema en tres dies. Apple també ha reconegut que els clients que recuperen les identificacions d'AMI mitjançant l'API ec2:DescribeImages sense especificar un valor de propietari estan en risc.

Per mitigar aquesta amenaça, AWS va introduir una nova funció de seguretat anomenada AMI permeses el desembre de 2024. Aquesta configuració per a tot el compte permet als usuaris restringir el descobriment i l'ús d'AMI als seus comptes d'AWS, reduint significativament la superfície d'atac. Els professionals de la seguretat recomanen que els clients d'AWS avaluïn i implementin aquest nou control per protegir els seus entorns al núvol dels atacs de confusió de noms.


Carregant...