Attacco whoAMI
I ricercatori di sicurezza informatica hanno scoperto un nuovo attacco di confusione di nomi denominato "whoAMI". Questo attacco consente agli autori delle minacce di eseguire codice all'interno di account Amazon Web Services (AWS) pubblicando un'Amazon Machine Image (AMI) con un nome specifico. Questa vulnerabilità ha implicazioni significative, in quanto potrebbe consentire l'accesso non autorizzato a migliaia di account AWS.
Sommario
Sfruttamento delle ricerche AMI non configurate correttamente
Il nocciolo di questo attacco risiede in una tattica di manipolazione della supply chain. Consiste nell'implementare un'AMI minacciosa e nell'ingannare un software mal configurato affinché la utilizzi al posto della versione legittima. Questa vulnerabilità è presente sia nei repository di codice privati che in quelli open source, il che la rende una preoccupazione diffusa.
Come funziona l'attacco
AWS consente a chiunque di pubblicare AMI, ovvero immagini di macchine virtuali utilizzate per avviare istanze di Elastic Compute Cloud (EC2). L'attacco sfrutta il fatto che gli sviluppatori potrebbero trascurare di specificare l'attributo --owners quando cercano un'AMI utilizzando l'API ec2:DescribeImages.
Affinché questo attacco abbia successo, devono essere soddisfatte le seguenti condizioni:
- La ricerca AMI si basa su un filtro per nome.
- La ricerca non specifica i parametri proprietario, alias proprietario o ID proprietario.
- La richiesta recupera l'immagine creata più di recente (most_recent=true).
Quando queste condizioni si allineano, un aggressore può creare un'AMI fraudolenta con un nome che corrisponde al modello di ricerca del target. Di conseguenza, un'istanza EC2 viene avviata utilizzando l'AMI compromessa dell'aggressore, garantendo capacità di esecuzione di codice remoto (RCE) e abilitando attività di post-sfruttamento.
Similitudini con gli attacchi di confusione di dipendenza
Questo attacco presenta delle somiglianze con gli exploit di confusione di dipendenza, in cui dipendenze software non sicure (come un pacchetto pip) sostituiscono quelle legittime. Tuttavia, nell'attacco whoAMI, la risorsa compromessa è un'immagine di macchina virtuale anziché una dipendenza software.
Risposta di Amazon e misure di sicurezza
Dopo la divulgazione di questo attacco il 16 settembre 2024, Amazon ha risposto prontamente e ha risolto il problema entro tre giorni. Apple ha anche riconosciuto che i clienti che recuperano gli ID AMI tramite l'API ec2:DescribeImages senza specificare un valore proprietario sono a rischio.
Per mitigare questa minaccia, AWS ha introdotto una nuova funzionalità di sicurezza denominata Allowed AMIs a dicembre 2024. Questa impostazione a livello di account consente agli utenti di limitare la scoperta e l'uso delle AMI nei propri account AWS, riducendo significativamente la superficie di attacco. I professionisti della sicurezza raccomandano ai clienti AWS di valutare e implementare questo nuovo controllo per salvaguardare i propri ambienti cloud dagli attacchi di confusione dei nomi.