מתקפת whoAMI

חוקרי אבטחת סייבר חשפו מתקפת בלבול חדשנית בשם 'whoAMI'. מתקפה זו מאפשרת לשחקני איום להפעיל קוד בתוך חשבונות Amazon Web Services (AWS) על ידי פרסום תמונה של Amazon Machine (AMI) עם שם ספציפי. לפגיעות זו יש השלכות משמעותיות, שכן היא עלולה לאפשר גישה לא מורשית לאלפי חשבונות AWS.

ניצול חיפושי AMI שגויים

הליבה של מתקפה זו טמונה בטקטיקה של מניפולציה של שרשרת האספקה. זה כרוך בפריסת AMI מאיים והונאת תוכנה שגויה להשתמש בה במקום בגרסה הלגיטימית. פגיעות זו קיימת הן במאגרי קוד פרטיים והן במאגרי קוד פתוח, מה שהופך אותה לדאגה רחבה.

כיצד פועלת המתקפה

AWS מאפשרת לכל אחד לפרסם AMIs, שהם תמונות של מכונות וירטואליות המשמשות להפעלת מופעי Elastic Compute Cloud (EC2). המתקפה מנצלת את העובדה שמפתחים עלולים להזניח את ציון התכונה --owners בעת חיפוש AMI באמצעות ה-API של ec2:DescribeImages.

כדי שהתקפה זו תצליח, יש לעמוד בתנאים הבאים:

• החיפוש של AMI מסתמך על מסנן שמות.
• החיפוש אינו מציין את הפרמטרים הבעלים, כינוי הבעלים או מזהה הבעלים.
• הבקשה מביאה את התמונה האחרונה שנוצרה (most_recent=true).

כאשר תנאים אלה מתאימים, תוקף יכול ליצור AMI הונאה עם שם התואם לדפוס החיפוש של המטרה. כתוצאה מכך, מופעל מופע EC2 באמצעות AMI שנפרץ של התוקף, המעניק יכולות ביצוע קוד מרחוק (RCE) ומאפשר פעילויות לאחר ניצול.

קווי דמיון להתקפות בלבול תלות

להתקפה זו יש קווי דמיון לניצול בלבול תלות, שבו תלות לא בטוחה בתוכנה (כגון חבילת pip) מחליפות את התלות הלגיטימיות. עם זאת, במתקפת whoAMI, המשאב שנפגע הוא תמונת מכונה וירטואלית במקום תלות בתוכנה.

התגובה ואמצעי האבטחה של אמזון

לאחר חשיפת המתקפה הזו ב-16 בספטמבר 2024, אמזון הגיבה מיידית וטיפלה בבעיה תוך שלושה ימים. אפל גם הכירה בכך שלקוחות המאחזרים מזהי AMI דרך ה-API של ec2:DescribeImages מבלי לציין ערך בעלים נמצאים בסיכון.

כדי להפחית את האיום הזה, AWS הציגה תכונת אבטחה חדשה בשם Allowed AMIs בדצמבר 2024. הגדרה זו הכוללת את החשבון מאפשרת למשתמשים להגביל את הגילוי והשימוש ב-AMIs בתוך חשבונות ה-AWS שלהם, מה שמצמצם משמעותית את משטח ההתקפה. מומחי אבטחה ממליצים ללקוחות AWS להעריך וליישם את הבקרה החדשה הזו כדי להגן על סביבות הענן שלהם מפני התקפות בלבול שמות.