WhoAMI Attack
Istraživači kibernetičke sigurnosti otkrili su novi napad zabunom imena nazvan 'whoAMI. ' Ovaj napad omogućuje akterima prijetnji da izvrše kod unutar računa Amazon Web Services (AWS) objavljivanjem Amazon Machine Image (AMI) s određenim nazivom. Ova ranjivost ima značajne implikacije jer bi mogla omogućiti neovlašteni pristup tisućama AWS računa.
Sadržaj
Iskorištavanje pogrešno konfiguriranih AMI pretraživanja
Srž ovog napada leži u taktici manipulacije opskrbnog lanca. To uključuje postavljanje prijetećeg AMI-ja i zavaravanje pogrešno konfiguriranog softvera da ga koristi umjesto legitimne verzije. Ova je ranjivost prisutna i u privatnim i u spremištima otvorenog izvornog koda, što je čini široko rasprostranjenom zabrinutošću.
Kako funkcionira napad
AWS omogućuje svakome objavljivanje AMI-ja, koji su slike virtualnih strojeva koje se koriste za pokretanje instanci Elastic Compute Cloud (EC2). Napad iskorištava činjenicu da programeri mogu zanemariti navođenje atributa --owners kada traže AMI koristeći ec2:DescribeImages API.
Da bi ovaj napad uspio, moraju biti ispunjeni sljedeći uvjeti:
- AMI pretraga se oslanja na filter imena.
- Pretraživanje ne navodi parametre vlasnika, pseudonim vlasnika ili ID-a vlasnika.
- Zahtjev dohvaća posljednju stvorenu sliku (most_recent=true).
Kada se ovi uvjeti usklade, napadač može stvoriti lažni AMI s imenom koje odgovara ciljanom obrascu pretraživanja. Kao rezultat toga, EC2 instanca se pokreće pomoću napadačevog kompromitiranog AMI-ja, dajući mogućnosti daljinskog izvršavanja koda (RCE) i omogućujući aktivnosti nakon iskorištavanja.
Sličnosti s napadima zabune zavisnosti
Ovaj napad ima sličnosti s iskorištavanjem zabune ovisnosti, gdje nesigurne softverske ovisnosti (kao što je pip paket) zamjenjuju legitimne. Međutim, u napadu whoAMI, ugroženi resurs je slika virtualnog stroja umjesto softverske ovisnosti.
Amazonov odgovor i sigurnosne mjere
Nakon otkrivanja ovog napada 16. rujna 2024., Amazon je promptno reagirao i riješio problem u roku od tri dana. Apple je također potvrdio da su korisnici koji dohvaćaju AMI ID-ove putem ec2:DescribeImages API-ja bez navođenja vlasničke vrijednosti u opasnosti.
Kako bi ublažio ovu prijetnju, AWS je uveo novu sigurnosnu značajku pod nazivom Allowed AMIs u prosincu 2024. Ova postavka za cijeli račun omogućuje korisnicima da ograniče otkrivanje i upotrebu AMI-ja unutar svojih AWS računa, značajno smanjujući površinu napada. Stručnjaci za sigurnost preporučuju korisnicima AWS-a da procijene i implementiraju ovu novu kontrolu kako bi zaštitili svoje okruženje u oblaku od napada zabunom imena.