Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga WhoAMI Attack

WhoAMI Attack

Autorius Mezo, Kompiuterių apsauga
Versti į:
Lietuvių

Kibernetinio saugumo tyrinėtojai atskleidė naujovišką painiavos ataką pavadinimu „whoAMI“. Ši ataka leidžia grėsmės veikėjams vykdyti kodą „Amazon Web Services“ (AWS) paskyrose, paskelbiant „Amazon Machine Image“ (AMI) konkrečiu pavadinimu. Šis pažeidžiamumas turi didelių pasekmių, nes gali leisti neteisėtai pasiekti tūkstančius AWS paskyrų.

Neteisingai sukonfigūruotų AMI paieškų išnaudojimas

Šios atakos esmė slypi tiekimo grandinės manipuliavimo taktikoje. Tai apima grėsmingo AMI diegimą ir netinkamai sukonfigūruotos programinės įrangos apgaudinėjimą, kad ji būtų naudojama vietoj teisėtos versijos. Šis pažeidžiamumas yra tiek privačiose, tiek atvirojo kodo saugyklose, todėl jis kelia didelį susirūpinimą.

Kaip veikia ataka

AWS leidžia visiems skelbti AMI, kurie yra virtualios mašinos vaizdai, naudojami Elastic Compute Cloud (EC2) egzemplioriams paleisti. Ataka pasinaudoja tuo, kad kūrėjai, ieškodami AMI naudodami ec2:DescribeImages API, gali nenurodyti atributo --owners.

Kad ataka būtų sėkminga, turi būti įvykdytos šios sąlygos:

  • AMI paieška remiasi vardų filtru.
  • Paieškoje nenurodomas savininkas, savininko pseudonimas arba savininko ID parametrai.
  • Užklausa gauna naujausią sukurtą vaizdą (most_recent=true).

Kai šios sąlygos sutampa, užpuolikas gali sukurti apgaulingą AMI, kurio pavadinimas atitinka taikinio paieškos šabloną. Dėl to paleidžiamas EC2 egzempliorius, naudojant pažeistą užpuoliko AMI, suteikiant nuotolinio kodo vykdymo (RCE) galimybes ir leidžiant vykdyti veiklą po išnaudojimo.

Panašumai į priklausomybės painiavos priepuolius

Ši ataka turi panašumų su priklausomybės painiavos išnaudojimais, kai nesaugios programinės įrangos priklausomybės (pvz., pip paketas) pakeičia teisėtas. Tačiau whoAMI atakos metu pažeistas šaltinis yra virtualios mašinos vaizdas, o ne programinė įranga.

„Amazon“ reagavimo ir saugumo priemonės

Po šios atakos atskleidimo 2024 m. rugsėjo 16 d. „Amazon“ operatyviai sureagavo ir išsprendė problemą per tris dienas. „Apple“ taip pat pripažino, kad klientams, kurie gauna AMI ID per ec2:DescribeImages API nenurodydami savininko vertės, kyla pavojus.

Siekdama sumažinti šią grėsmę, 2024 m. gruodžio mėn. AWS pristatė naują saugos funkciją, pavadintą Leistini AMI. Šis visos paskyros nustatymas leidžia vartotojams apriboti AMI aptikimą ir naudojimą savo AWS paskyrose, taip žymiai sumažinant atakos paviršių. Saugos specialistai rekomenduoja AWS klientams įvertinti ir įdiegti šį naują valdiklį, kad apsaugotų savo debesų aplinką nuo vardų painiavos.


Įkeliama...