Slevová nabídka pro více licencí
Počítačová bezpečnost WhoAMI útok

WhoAMI útok

V roce Mezo v roce Počítačová bezpečnost
Přeložit do:
Čeština

Výzkumníci v oblasti kybernetické bezpečnosti odhalili nový útok na zmatek s názvem „whoAMI“. Tento útok umožňuje aktérům hrozeb spouštět kód v rámci účtů Amazon Web Services (AWS) publikováním Amazon Machine Image (AMI) s konkrétním názvem. Tato chyba zabezpečení má významné důsledky, protože by mohla umožnit neoprávněný přístup k tisícům účtů AWS.

Využívání chybně nakonfigurovaných AMI vyhledávání

Jádro tohoto útoku spočívá v taktice manipulace s dodavatelským řetězcem. Zahrnuje nasazení ohrožujícího AMI a oklamání chybně nakonfigurovaného softwaru, aby jej použil místo legitimní verze. Tato zranitelnost je přítomna v soukromých i open-source úložištích kódu, což z ní činí rozšířený problém.

Jak útok funguje

AWS umožňuje komukoli publikovat AMI, což jsou obrazy virtuálních strojů používané ke spouštění instancí Elastic Compute Cloud (EC2). Útok využívá skutečnosti, že vývojáři mohou zanedbávat specifikaci atributu --owners při hledání AMI pomocí ec2:DescribeImages API.

Aby byl útok úspěšný, musí být splněny následující podmínky:

  • Vyhledávání AMI spoléhá na filtr názvů.
  • Vyhledávání neurčuje parametry vlastníka, alias vlastníka nebo ID vlastníka.
  • Požadavek načte naposledy vytvořený obrázek (most_recent=true).

Když se tyto podmínky shodují, útočník může vytvořit podvodné AMI s názvem odpovídajícím vzoru vyhledávání cíle. Výsledkem je spuštění instance EC2 pomocí útočníkova kompromitovaného rozhraní AMI, které poskytuje funkce vzdáleného spuštění kódu (RCE) a umožňuje činnosti po zneužití.

Podobnosti se Závislými zmatenými útoky

Tento útok se podobá zneužití závislostí, kde nebezpečné softwarové závislosti (jako je balíček pip) nahrazují ty legitimní. Při útoku whoAMI je však kompromitovaným prostředkem obraz virtuálního počítače namísto softwarové závislosti.

Odezva a bezpečnostní opatření Amazonu

Po odhalení tohoto útoku 16. září 2024 Amazon okamžitě zareagoval a problém vyřešil do tří dnů. Apple také uznal, že zákazníci, kteří získávají AMI ID prostřednictvím ec2:DescribeImages API bez uvedení hodnoty vlastníka, jsou ohroženi.

Pro zmírnění této hrozby zavedl AWS v prosinci 2024 novou bezpečnostní funkci nazvanou Allowed AMIs. Toto nastavení pro celý účet umožňuje uživatelům omezit zjišťování a používání rozhraní AMI v rámci jejich účtů AWS, čímž se výrazně snižuje plocha útoku. Bezpečnostní profesionálové doporučují, aby zákazníci AWS vyhodnotili a implementovali tento nový ovládací prvek, aby ochránili svá cloudová prostředí před útoky způsobenými záměnou názvů.


Načítání...