Mitme litsentsi allahindluspakkumine
Arvuti turvalisus WhoAMI Attack

WhoAMI Attack

Aastaks Mezo aastal Arvuti turvalisus
Tõlgi:
Eesti

Küberjulgeoleku teadlased on avastanud uudse nimega segaduserünnaku, mille nimi on "whoAMI". See rünnak võimaldab ohus osalejatel käivitada koodi Amazon Web Servicesi (AWS) kontodel, avaldades Amazon Machine Image (AMI) konkreetse nimega. Sellel haavatavusel on märkimisväärne mõju, kuna see võib võimaldada volitamata juurdepääsu tuhandetele AWS-i kontodele.

Valesti konfigureeritud AMI otsingute ärakasutamine

Selle rünnaku tuum seisneb tarneahelaga manipuleerimise taktikas. See hõlmab ähvardava AMI juurutamist ja valesti konfigureeritud tarkvara petmist kasutama seda legitiimse versiooni asemel. See haavatavus esineb nii privaatsetes kui ka avatud lähtekoodiga hoidlates, mistõttu on see laialt levinud probleem.

Kuidas rünnak töötab

AWS võimaldab kõigil avaldada AMI-sid, mis on virtuaalse masina kujutised, mida kasutatakse Elastic Compute Cloud (EC2) eksemplaride käivitamiseks. Rünnak kasutab ära asjaolu, et arendajad võivad ec2:DescribeImages API abil AMI-d otsides jätta märkimata atribuudi --owners.

Rünnaku õnnestumiseks peavad olema täidetud järgmised tingimused:

  • AMI otsing tugineb nimefiltrile.
  • Otsing ei täpsusta omaniku, omaniku varjunime ega omaniku ID parameetreid.
  • Taotlus toob viimati loodud pildi (most_recent=true).

Kui need tingimused ühtivad, võib ründaja luua petturliku AMI nimega, mis vastab sihtmärgi otsingumustrile. Selle tulemusel käivitatakse EC2 eksemplar, kasutades ründaja ohustatud AMI-d, võimaldades koodi kaugkäitamise (RCE) võimalusi ja võimaldades ekspluateerimisjärgseid tegevusi.

Sarnasused sõltuvuse segaduse rünnakutega

Sellel rünnakul on sarnasusi sõltuvuse segaduse ärakasutamisega, kus ebaturvalised tarkvarasõltuvused (nt pip-pakett) asendavad seaduslikud sõltuvused. WhoAMI ründes on aga ohustatud ressurss tarkvarasõltuvuse asemel virtuaalmasina kujutis.

Amazoni reageerimis- ja turvameetmed

Pärast selle rünnaku avalikustamist 16. septembril 2024 reageeris Amazon kiiresti ja käsitles probleemi kolme päeva jooksul. Apple on ka tunnistanud, et kliendid, kes toovad AMI ID-d ec2:DescribeImages API kaudu ilma omaniku väärtust määramata, on ohus.

Selle ohu leevendamiseks tutvustas AWS 2024. aasta detsembris uut turbefunktsiooni nimega Lubatud AMI-d. See kogu kontot hõlmav säte võimaldab kasutajatel piirata AWS-i kontodel olevate AMI-de avastamist ja kasutamist, vähendades oluliselt rünnaku pinda. Turvaspetsialistid soovitavad AWS-i klientidel seda uut juhtelementi hinnata ja rakendada, et kaitsta oma pilvekeskkondi nimesegaduse rünnakute eest.


Laadimine...