WhoAMI Attack
A kiberbiztonsági kutatók egy újszerű, „whoAMI” névre keresztelt zavaros támadást fedeztek fel. Ez a támadás lehetővé teszi a fenyegetés szereplői számára, hogy kódot hajtsanak végre az Amazon Web Services (AWS) fiókokon belül egy Amazon Machine Image (AMI) adott néven történő közzétételével. Ennek a sérülékenységnek jelentős következményei vannak, mivel több ezer AWS-fiókhoz illetéktelen hozzáférést tehet lehetővé.
Tartalomjegyzék
A rosszul konfigurált AMI-keresések kihasználása
Ennek a támadásnak a lényege az ellátási lánc manipulációs taktikája. Ez magában foglalja egy fenyegető AMI telepítését és a rosszul konfigurált szoftver megtévesztését, hogy azt a legális verzió helyett használják. Ez a sérülékenység mind a privát, mind a nyílt forráskódú tárolókban megtalálható, így széles körben elterjedt aggodalomra ad okot.
Hogyan működik a támadás
Az AWS bárki számára lehetővé teszi az AMI-k közzétételét, amelyek az Elastic Compute Cloud (EC2) példányok elindításához használt virtuális gépképek. A támadás kihasználja azt a tényt, hogy a fejlesztők figyelmen kívül hagyhatják a --owners attribútum megadását, amikor AMI-t keresnek az ec2:DescribeImages API használatával.
A támadás sikeréhez a következő feltételeknek kell teljesülniük:
- Az AMI keresés egy névszűrőn alapul.
- A keresés nem adja meg a tulajdonos, a tulajdonos-alias vagy a tulajdonosazonosító paramétereket.
- A kérés lekéri a legutóbb létrehozott képet (most_recent=true).
Ha ezek a feltételek megegyeznek, a támadó csalárd AMI-t hozhat létre a cél keresési mintájának megfelelő névvel. Ennek eredményeként egy EC2-példány indul a támadó feltört AMI-jével, amely távoli kódvégrehajtási (RCE) képességeket biztosít, és lehetővé teszi a kizsákmányolás utáni tevékenységeket.
Hasonlóságok a függőségi zavaros támadásokhoz
Ez a támadás hasonlóságot mutat a függőségi zavarok kihasználásával, ahol a nem biztonságos szoftverfüggőségek (például egy pip csomag) felváltják a legitimeket. A whoAMI támadásban azonban a feltört erőforrás egy virtuális gép lemezkép, nem pedig szoftverfüggőség.
Az Amazon válasz- és biztonsági intézkedései
A támadás 2024. szeptember 16-i nyilvánosságra hozatalát követően az Amazon azonnal reagált, és három napon belül orvosolta a problémát. Az Apple azt is elismerte, hogy azok az ügyfelek, akik tulajdonosi érték megadása nélkül kérik le az AMI-azonosítókat az ec2:DescribeImages API-n keresztül, veszélyben vannak.
A fenyegetés mérséklése érdekében az AWS 2024 decemberében új biztonsági funkciót vezetett be Engedélyezett AMI-k néven. Ez a fiókszintű beállítás lehetővé teszi a felhasználók számára, hogy korlátozzák az AMI-k felfedezését és használatát AWS-fiókjukon belül, jelentősen csökkentve a támadási felületet. A biztonsági szakemberek azt javasolják, hogy az AWS-ügyfelek értékeljék és alkalmazzák ezt az új vezérlőt, hogy megvédjék felhőkörnyezetüket a névzavaros támadásoktól.