WhoAMI 공격

사이버 보안 연구원들은 'whoAMI'라는 새로운 이름 혼동 공격을 발견했습니다. 이 공격을 통해 위협 행위자는 특정 이름의 Amazon Machine Image(AMI)를 게시하여 Amazon Web Services(AWS) 계정 내에서 코드를 실행할 수 있습니다. 이 취약점은 수천 개의 AWS 계정에 대한 무단 액세스를 허용할 수 있으므로 중대한 의미를 갖습니다.

잘못 구성된 AMI 검색 활용

이 공격의 핵심은 공급망 조작 전술에 있습니다. 위협적인 AMI를 배포하고 잘못 구성된 소프트웨어를 속여 합법적인 버전 대신 사용하도록 하는 것입니다. 이 취약점은 비공개 및 오픈 소스 코드 저장소에 모두 존재하여 광범위한 우려를 불러일으킵니다.

공격 작동 방식

AWS는 누구나 Elastic Compute Cloud(EC2) 인스턴스를 시작하는 데 사용되는 가상 머신 이미지인 AMI를 게시할 수 있도록 허용합니다. 이 공격은 개발자가 ec2:DescribeImages API를 사용하여 AMI를 검색할 때 --owners 속성을 지정하지 않을 수 있다는 사실을 이용합니다.

이 공격이 성공하려면 다음 조건을 충족해야 합니다.

• AMI 검색은 이름 필터를 사용합니다.
• 검색에서는 소유자, 소유자 별칭 또는 소유자 ID 매개변수를 지정하지 않습니다.
• 해당 요청은 가장 최근에 생성된 이미지를 가져옵니다(most_recent=true).

이러한 조건이 일치하면 공격자는 대상의 검색 패턴과 일치하는 이름을 가진 사기성 AMI를 만들 수 있습니다. 그 결과, 공격자의 손상된 AMI를 사용하여 EC2 인스턴스가 시작되어 원격 코드 실행(RCE) 기능을 부여하고 익스플로잇 후 활동을 활성화합니다.

종속성 혼동 공격과의 유사점

이 공격은 종속성 혼동 익스플로잇과 유사합니다. 여기서 안전하지 않은 소프트웨어 종속성(예: pip 패키지)이 합법적인 종속성을 대체합니다. 그러나 whoAMI 공격에서 손상된 리소스는 소프트웨어 종속성이 아닌 가상 머신 이미지입니다.

Amazon의 대응 및 보안 조치

2024년 9월 16일에 이 공격이 공개된 후, Amazon은 즉시 대응하여 3일 이내에 문제를 해결했습니다. Apple은 또한 소유자 값을 지정하지 않고 ec2:DescribeImages API를 통해 AMI ID를 검색하는 고객이 위험에 처해 있다는 것을 인정했습니다.

이 위협을 완화하기 위해 AWS는 2024년 12월에 허용된 AMI라는 새로운 보안 기능을 도입했습니다. 이 계정 전체 설정을 통해 사용자는 AWS 계정 내에서 AMI의 검색 및 사용을 제한하여 공격 표면을 크게 줄일 수 있습니다. 보안 전문가는 AWS 고객이 이 새로운 제어를 평가하고 구현하여 이름 혼동 공격으로부터 클라우드 환경을 보호할 것을 권장합니다.