Εκπτωτική προσφορά πολλαπλών αδειών
Ασφάλεια Υπολογιστών WhoAMI Attack

WhoAMI Attack

Μέχρι το Mezo το Ασφάλεια Υπολογιστών
Μετάφραση σε:
Ελληνικά

Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα επίθεση σύγχυσης με το όνομα «whoAMI». Αυτή η επίθεση επιτρέπει στους παράγοντες απειλών να εκτελούν κώδικα σε λογαριασμούς Amazon Web Services (AWS) δημοσιεύοντας μια Εικόνα Μηχανής Amazon (AMI) με ένα συγκεκριμένο όνομα. Αυτή η ευπάθεια έχει σημαντικές επιπτώσεις, καθώς θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη πρόσβαση σε χιλιάδες λογαριασμούς AWS.

Εκμετάλλευση εσφαλμένων αναζητήσεων AMI

Ο πυρήνας αυτής της επίθεσης βρίσκεται σε μια τακτική χειραγώγησης της εφοδιαστικής αλυσίδας. Περιλαμβάνει την ανάπτυξη ενός απειλητικού AMI και την εξαπάτηση του εσφαλμένου λογισμικού για τη χρήση του αντί της νόμιμης έκδοσης. Αυτή η ευπάθεια είναι παρούσα τόσο σε ιδιωτικά αποθετήρια κώδικα όσο και σε αποθετήρια ανοιχτού κώδικα, γεγονός που την καθιστά μια ευρέως διαδεδομένη ανησυχία.

Πώς λειτουργεί η επίθεση

Το AWS επιτρέπει σε οποιονδήποτε να δημοσιεύει AMI, τα οποία είναι εικόνες εικονικής μηχανής που χρησιμοποιούνται για την εκκίνηση παρουσιών Elastic Compute Cloud (EC2). Η επίθεση εκμεταλλεύεται το γεγονός ότι οι προγραμματιστές μπορεί να παραμελήσουν να καθορίσουν το χαρακτηριστικό --owners όταν αναζητούν ένα AMI χρησιμοποιώντας το API ec2:DescribeImages.

Για να πετύχει αυτή η επίθεση, πρέπει να πληρούνται οι ακόλουθες προϋποθέσεις:

  • Η αναζήτηση AMI βασίζεται σε ένα φίλτρο ονόματος.
  • Η αναζήτηση δεν καθορίζει τις παραμέτρους κατόχου, ψευδώνυμου κατόχου ή αναγνωριστικού κατόχου.
  • Το αίτημα ανακτά την εικόνα που δημιουργήθηκε πιο πρόσφατα (most_recent=true).

Όταν αυτές οι συνθήκες ευθυγραμμίζονται, ένας εισβολέας μπορεί να δημιουργήσει ένα δόλιο AMI με όνομα που ταιριάζει με το μοτίβο αναζήτησης του στόχου. Ως αποτέλεσμα, ξεκινά μια παρουσία EC2 χρησιμοποιώντας το παραβιασμένο AMI του εισβολέα, παρέχοντας δυνατότητες απομακρυσμένης εκτέλεσης κώδικα (RCE) και επιτρέποντας δραστηριότητες μετά την εκμετάλλευση.

Ομοιότητες με τις επιθέσεις σύγχυσης εξάρτησης

Αυτή η επίθεση έχει ομοιότητες με εκμεταλλεύσεις σύγχυσης εξάρτησης, όπου οι μη ασφαλείς εξαρτήσεις λογισμικού (όπως ένα πακέτο pip) αντικαθιστούν τις νόμιμες. Ωστόσο, στην επίθεση whoAMI, ο παραβιασμένος πόρος είναι μια εικόνα εικονικής μηχανής αντί για μια εξάρτηση λογισμικού.

Απόκριση και μέτρα ασφαλείας της Amazon

Μετά την αποκάλυψη αυτής της επίθεσης στις 16 Σεπτεμβρίου 2024, η Amazon απάντησε αμέσως και αντιμετώπισε το ζήτημα εντός τριών ημερών. Η Apple έχει επίσης αναγνωρίσει ότι οι πελάτες που ανακτούν αναγνωριστικά AMI μέσω του API ec2:DescribeImages χωρίς να προσδιορίσουν την αξία κατόχου διατρέχουν κίνδυνο.

Για να μετριάσει αυτήν την απειλή, το AWS εισήγαγε μια νέα δυνατότητα ασφαλείας που ονομάζεται Επιτρεπόμενα AMIs τον Δεκέμβριο του 2024. Αυτή η ρύθμιση σε όλο τον λογαριασμό επιτρέπει στους χρήστες να περιορίζουν την ανακάλυψη και τη χρήση των AMI στους λογαριασμούς τους AWS, μειώνοντας σημαντικά την επιφάνεια επίθεσης. Οι επαγγελματίες ασφαλείας συνιστούν στους πελάτες AWS να αξιολογούν και να εφαρμόζουν αυτό το νέο στοιχείο ελέγχου για να προστατεύουν τα περιβάλλοντα cloud τους από επιθέσεις σύγχυσης ονομάτων.


Φόρτωση...