قیمت چند مجوز تخفیف
امنیت کامپیوتر WhoAMI Attack

WhoAMI Attack

تا Mezo در امنیت کامپیوتر
ترجمه به:
فارسی

محققان امنیت سایبری یک حمله سردرگمی نام جدید با نام "whoAMI" را کشف کردند. این حمله عوامل تهدید را قادر می‌سازد تا با انتشار تصویر ماشین آمازون (AMI) با نامی خاص، کد را در حساب‌های خدمات وب آمازون (AWS) اجرا کنند. این آسیب‌پذیری پیامدهای مهمی دارد، زیرا می‌تواند اجازه دسترسی غیرمجاز به هزاران حساب AWS را بدهد.

بهره برداری از جستجوهای AMI با پیکربندی نادرست

هسته اصلی این حمله در تاکتیک دستکاری زنجیره تامین نهفته است. این شامل استقرار یک AMI تهدید کننده و فریب نرم افزارهای پیکربندی نادرست برای استفاده از آن به جای نسخه قانونی است. این آسیب‌پذیری هم در مخازن کدهای خصوصی و هم در مخازن کد منبع باز وجود دارد و آن را به یک نگرانی گسترده تبدیل می‌کند.

حمله چگونه کار می کند

AWS به هر کسی اجازه می‌دهد تا AMI را منتشر کند، که تصاویر ماشین مجازی هستند که برای راه‌اندازی نمونه‌های Elastic Compute Cloud (EC2) استفاده می‌شوند. این حمله از این واقعیت استفاده می کند که توسعه دهندگان ممکن است هنگام جستجوی یک AMI با استفاده از ec2:DescribeImages API از تعیین ویژگی --owners غافل شوند.

برای موفقیت این حمله، شرایط زیر باید رعایت شود:

  • جستجوی AMI به یک فیلتر نام متکی است.
  • جستجو پارامترهای مالک، نام مستعار مالک یا شناسه مالک را مشخص نمی کند.
  • درخواست جدیدترین تصویر ایجاد شده (most_recent=true) را واکشی می کند.

هنگامی که این شرایط هماهنگ باشد، مهاجم می تواند یک AMI متقلبانه با نامی مطابق با الگوی جستجوی هدف ایجاد کند. در نتیجه، یک نمونه EC2 با استفاده از AMI آسیب‌دیده مهاجم راه‌اندازی می‌شود و قابلیت‌های اجرای کد از راه دور (RCE) را می‌دهد و فعالیت‌های پس از بهره‌برداری را امکان‌پذیر می‌کند.

شباهت به حملات سردرگمی وابستگی

این حمله شباهت هایی به سوء استفاده های سردرگمی وابستگی دارد، جایی که وابستگی های نرم افزاری ناامن (مانند بسته پیپ) جایگزین وابستگی های قانونی می شوند. با این حال، در حمله whoAMI، منبع در معرض خطر یک تصویر ماشین مجازی به جای یک وابستگی نرم افزاری است.

پاسخ آمازون و اقدامات امنیتی

پس از افشای این حمله در 16 سپتامبر 2024، آمازون به سرعت پاسخ داد و ظرف سه روز به این موضوع پرداخت. اپل همچنین اذعان کرده است که مشتریانی که شناسه‌های AMI را از طریق ec2:DescribeImages API بدون تعیین ارزش مالک دریافت می‌کنند، در معرض خطر هستند.

برای کاهش این تهدید، AWS یک ویژگی امنیتی جدید به نام AMIs مجاز را در دسامبر 2024 معرفی کرد. این تنظیمات در کل حساب به کاربران اجازه می دهد تا کشف و استفاده از AMI ها را در حساب های AWS خود محدود کنند و سطح حمله را به میزان قابل توجهی کاهش دهند. متخصصان امنیت توصیه می کنند که مشتریان AWS این کنترل جدید را ارزیابی و اجرا کنند تا از محیط های ابری خود در برابر حملات گیج کننده نام محافظت کنند.


بارگذاری...