WhoAMI angreb
Cybersikkerhedsforskere har afsløret et nyt navneforvirringsangreb kaldet 'whoAMI. ' Dette angreb gør det muligt for trusselsaktører at udføre kode i Amazon Web Services (AWS) konti ved at udgive et Amazon Machine Image (AMI) med et specifikt navn. Denne sårbarhed har betydelige konsekvenser, da den kan tillade uautoriseret adgang til tusindvis af AWS-konti.
Indholdsfortegnelse
Udnyttelse af forkert konfigurerede AMI-søgninger
Kernen i dette angreb ligger i en taktik for manipulation af forsyningskæden. Det involverer at implementere en truende AMI og bedrage forkert konfigureret software til at bruge den i stedet for den legitime version. Denne sårbarhed er til stede i både private og open source-kodelagre, hvilket gør det til en udbredt bekymring.
Hvordan angrebet fungerer
AWS giver alle mulighed for at udgive AMI'er, som er virtuelle maskinbilleder, der bruges til at starte Elastic Compute Cloud (EC2)-instanser. Angrebet udnytter det faktum, at udviklere kan undlade at angive --owners-attributten, når de søger efter en AMI ved hjælp af ec2:DescribeImages API.
For at dette angreb skal lykkes, skal følgende betingelser være opfyldt:
- AMI-søgningen er afhængig af et navnefilter.
- Søgningen angiver ikke ejer-, ejer-alias eller ejer-id-parametre.
- Anmodningen henter det senest oprettede billede (most_recent=true).
Når disse forhold stemmer overens, kan en angriber oprette en svigagtig AMI med et navn, der matcher målets søgemønster. Som et resultat lanceres en EC2-instans ved hjælp af angriberens kompromitterede AMI, der giver mulighed for fjernudførelse af kode (RCE) og muliggør aktiviteter efter udnyttelse.
Ligheder med afhængighedsforvirringsangreb
Dette angreb har ligheder med afhængighedsforvirring, hvor usikre softwareafhængigheder (såsom en pip-pakke) erstatter legitime. Men i whoAMI-angrebet er den kompromitterede ressource et virtuel maskinbillede i stedet for en softwareafhængighed.
Amazons svar og sikkerhedsforanstaltninger
Efter afsløringen af dette angreb den 16. september 2024 reagerede Amazon omgående og behandlede problemet inden for tre dage. Apple har også erkendt, at kunder, der henter AMI-id'er gennem ec2:DescribeImages API uden at angive en ejerværdi, er i fare.
For at afbøde denne trussel introducerede AWS en ny sikkerhedsfunktion kaldet Tilladte AMI'er i december 2024. Denne kontodækkende indstilling giver brugerne mulighed for at begrænse opdagelsen og brugen af AMI'er på deres AWS-konti, hvilket reducerer angrebsoverfladen betydeligt. Sikkerhedseksperter anbefaler, at AWS-kunder evaluerer og implementerer denne nye kontrol for at beskytte deres cloudmiljøer mod navneforvirringsangreb.