WhoAMI हमला
साइबर सुरक्षा शोधकर्ताओं ने 'whoAMI' नामक एक नए नाम भ्रम हमले का पता लगाया है। यह हमला खतरे पैदा करने वाले लोगों को एक विशिष्ट नाम के साथ Amazon Machine Image (AMI) प्रकाशित करके Amazon Web Services (AWS) खातों के भीतर कोड निष्पादित करने में सक्षम बनाता है। इस भेद्यता के महत्वपूर्ण निहितार्थ हैं, क्योंकि यह हजारों AWS खातों तक अनधिकृत पहुँच की अनुमति दे सकता है।
विषयसूची
गलत तरीके से कॉन्फ़िगर की गई AMI खोजों का फायदा उठाना
इस हमले का मूल सप्लाई चेन हेरफेर रणनीति में निहित है। इसमें एक खतरनाक AMI को तैनात करना और गलत तरीके से कॉन्फ़िगर किए गए सॉफ़्टवेयर को वैध संस्करण के बजाय इसका उपयोग करने के लिए धोखा देना शामिल है। यह भेद्यता निजी और ओपन-सोर्स कोड रिपॉजिटरी दोनों में मौजूद है, जिससे यह एक व्यापक चिंता का विषय बन गया है।
हमला कैसे काम करता है?
AWS किसी को भी AMI प्रकाशित करने की अनुमति देता है, जो कि Elastic Compute Cloud (EC2) इंस्टेंस लॉन्च करने के लिए उपयोग की जाने वाली वर्चुअल मशीन इमेज हैं। यह हमला इस तथ्य का लाभ उठाता है कि डेवलपर्स ec2:DescribeImages API का उपयोग करके AMI की खोज करते समय --owners विशेषता को निर्दिष्ट करना भूल सकते हैं।
इस हमले के सफल होने के लिए निम्नलिखित शर्तें पूरी होनी चाहिए:
- एएमआई खोज नाम फिल्टर पर निर्भर करती है।
- खोज स्वामी, स्वामी-उपनाम, या स्वामी-आईडी पैरामीटर निर्दिष्ट नहीं करती है।
- अनुरोध सबसे हाल ही में बनाई गई छवि (most_recent=true) प्राप्त करता है।
जब ये स्थितियाँ संरेखित होती हैं, तो हमलावर लक्ष्य के खोज पैटर्न से मेल खाने वाले नाम के साथ एक धोखाधड़ी वाला AMI बना सकता है। परिणामस्वरूप, हमलावर के समझौता किए गए AMI का उपयोग करके एक EC2 इंस्टेंस लॉन्च किया जाता है, जो रिमोट कोड निष्पादन (RCE) क्षमताओं को प्रदान करता है और पोस्ट-एक्सप्लॉइटेशन गतिविधियों को सक्षम करता है।
निर्भरता भ्रम हमलों से समानताएं
यह हमला निर्भरता भ्रम शोषण के समान है, जहां असुरक्षित सॉफ़्टवेयर निर्भरताएं (जैसे कि पिप पैकेज) वैध निर्भरताओं की जगह ले लेती हैं। हालाँकि, whoAMI हमले में, समझौता किया गया संसाधन सॉफ़्टवेयर निर्भरता के बजाय एक वर्चुअल मशीन छवि है।
अमेज़न की प्रतिक्रिया और सुरक्षा उपाय
16 सितंबर, 2024 को इस हमले के खुलासे के बाद, अमेज़न ने तुरंत प्रतिक्रिया दी और तीन दिनों के भीतर इस मुद्दे को संबोधित किया। Apple ने यह भी स्वीकार किया है कि जो ग्राहक ec2:DescribeImages API के माध्यम से स्वामी मान निर्दिष्ट किए बिना AMI ID प्राप्त करते हैं, वे जोखिम में हैं।
इस खतरे को कम करने के लिए, AWS ने दिसंबर 2024 में Allowed AMIs नामक एक नई सुरक्षा सुविधा शुरू की। यह खाता-व्यापी सेटिंग उपयोगकर्ताओं को अपने AWS खातों के भीतर AMI की खोज और उपयोग को प्रतिबंधित करने की अनुमति देती है, जिससे हमले की सतह काफी कम हो जाती है। सुरक्षा पेशेवर अनुशंसा करते हैं कि AWS ग्राहक अपने क्लाउड वातावरण को नाम भ्रम हमलों से सुरक्षित रखने के लिए इस नए नियंत्रण का मूल्यांकन और कार्यान्वयन करें।