WhoAMI Attack
Kyberturvallisuustutkijat ovat paljastaneet uuden nimen hämmennyshyökkäyksen nimeltä 'whoAMI. Tämä hyökkäys antaa uhkatoimijoille mahdollisuuden suorittaa koodia Amazon Web Services (AWS) -tileillä julkaisemalla Amazon Machine Image (AMI) -kuvan tietyllä nimellä. Tällä haavoittuvuudella on merkittäviä seurauksia, koska se voi mahdollistaa luvattoman pääsyn tuhansiin AWS-tileihin.
Sisällysluettelo
Väärin määritettyjen AMI-hakujen hyödyntäminen
Tämän hyökkäyksen ydin on toimitusketjun manipulointitaktiikissa. Siihen sisältyy uhkaavan AMI:n käyttöönotto ja väärin määritettyjen ohjelmistojen huijaaminen käyttämään sitä laillisen version sijaan. Tämä haavoittuvuus esiintyy sekä yksityisissä että avoimen lähdekoodin arkistoissa, mikä tekee siitä laajan huolen.
Kuinka hyökkäys toimii
AWS:n avulla kuka tahansa voi julkaista AMI:itä, jotka ovat virtuaalikoneen kuvia, joita käytetään Elastic Compute Cloud (EC2) -esiintymien käynnistämiseen. Hyökkäys hyödyntää sitä tosiasiaa, että kehittäjät saattavat jättää määrittämättä --owners-attribuutin etsiessään AMI:tä ec2:DescribeImages API:lla.
Hyökkäyksen onnistuminen edellyttää, että seuraavat ehdot täyttyvät:
- AMI-haku perustuu nimisuodattimeen.
- Haku ei määritä omistaja-, omistaja-alias- tai omistajatunnusparametreja.
- Pyyntö hakee viimeksi luodun kuvan (most_recent=true).
Kun nämä ehdot täsmäävät, hyökkääjä voi luoda vilpillisen AMI:n, jonka nimi vastaa kohteen hakumallia. Tämän seurauksena EC2-ilmentymä käynnistetään käyttämällä hyökkääjän vaarantunutta AMI:tä, joka antaa koodin etäsuorittamisen (RCE) -ominaisuudet ja mahdollistaa hyväksikäytön jälkeiset toiminnot.
Yhtäläisyydet riippuvuuden hämmennyshyökkäysten kanssa
Tässä hyökkäyksessä on yhtäläisyyksiä riippuvuuden hämmennyksen hyväksikäyttöön, jossa vaaralliset ohjelmistoriippuvuudet (kuten pip-paketti) korvaavat lailliset riippuvuudet. WhoAMI-hyökkäyksessä vaarantunut resurssi on kuitenkin virtuaalikoneen näköistiedosto ohjelmistoriippuvuuden sijaan.
Amazonin reagointi- ja turvallisuustoimenpiteet
Tämän hyökkäyksen julkistamisen jälkeen 16. syyskuuta 2024 Amazon vastasi nopeasti ja käsitteli ongelman kolmen päivän kuluessa. Apple on myös myöntänyt, että asiakkaat, jotka hakevat AMI-tunnukset ec2:DescribeImages API:n kautta ilman omistaja-arvoa, ovat vaarassa.
Tämän uhan lieventämiseksi AWS esitteli uuden suojausominaisuuden nimeltä Sallitut AMI:t joulukuussa 2024. Tämän tilinlaajuisen asetuksen avulla käyttäjät voivat rajoittaa AMI:iden löytämistä ja käyttöä AWS-tileissään, mikä vähentää merkittävästi hyökkäyspinta-alaa. Tietoturva-ammattilaiset suosittelevat, että AWS-asiakkaat arvioivat ja ottavat käyttöön tämän uuden hallinnan suojatakseen pilviympäristönsä nimisekoitushyökkäyksiltä.