WhoAMI Attack
Kiberdrošības pētnieki ir atklājuši jaunu nosaukumu apjukuma uzbrukumu, kas nodēvēts par “whoAMI”. Šis uzbrukums ļauj apdraudējuma dalībniekiem izpildīt kodu Amazon Web Services (AWS) kontos, publicējot Amazon Machine Image (AMI) ar noteiktu nosaukumu. Šai ievainojamībai ir būtiskas sekas, jo tā var ļaut nesankcionēti piekļūt tūkstošiem AWS kontu.
Satura rādītājs
Nepareizi konfigurētu AMI meklējumu izmantošana
Šī uzbrukuma pamatā ir piegādes ķēdes manipulācijas taktika. Tas ietver draudoša AMI izvietošanu un nepareizi konfigurētas programmatūras maldināšanu, lai to izmantotu likumīgās versijas vietā. Šī ievainojamība ir sastopama gan privātajos, gan atvērtā pirmkoda krātuvēs, tādēļ tā rada plašas bažas.
Kā darbojas uzbrukums
AWS ļauj ikvienam publicēt AMI — virtuālās mašīnas attēlus, ko izmanto, lai palaistu Elastic Compute Cloud (EC2) gadījumus. Uzbrukumā tiek izmantots fakts, ka izstrādātāji var neievērot atribūta --owners norādīšanu, meklējot AMI, izmantojot ec2:DescribeImages API.
Lai šis uzbrukums izdotos, ir jāievēro šādi nosacījumi:
- AMI meklēšana balstās uz nosaukuma filtru.
- Meklēšana nenorāda īpašnieku, īpašnieka aizstājvārdu vai īpašnieka ID parametrus.
- Pieprasījums ienes pēdējo izveidoto attēlu (most_recent=true).
Kad šie nosacījumi sakrīt, uzbrucējs var izveidot krāpniecisku AMI ar nosaukumu, kas atbilst mērķa meklēšanas modelim. Rezultātā tiek palaists EC2 gadījums, izmantojot uzbrucēja apdraudēto AMI, piešķirot attālās koda izpildes (RCE) iespējas un iespējojot pēcekspluatācijas darbības.
Līdzības ar atkarības apjukuma uzbrukumiem
Šim uzbrukumam ir līdzības ar atkarības neskaidrības izmantošanu, kur nedrošas programmatūras atkarības (piemēram, pip pakotne) aizstāj likumīgās. Tomēr whoAMI uzbrukumā apdraudētais resurss ir virtuālās mašīnas attēls, nevis programmatūras atkarība.
Amazon reaģēšanas un drošības pasākumi
Pēc šī uzbrukuma izpaušanas 2024. gada 16. septembrī Amazon nekavējoties reaģēja un risināja problēmu trīs dienu laikā. Apple ir arī atzinusi, ka klienti, kuri izgūst AMI ID, izmantojot ec2:DescribeImages API, nenorādot īpašnieka vērtību, ir pakļauti riskam.
Lai mazinātu šos draudus, AWS 2024. gada decembrī ieviesa jaunu drošības līdzekli ar nosaukumu Allowed AMI. Šis visa konta iestatījums ļauj lietotājiem ierobežot AMI atklāšanu un izmantošanu savos AWS kontos, ievērojami samazinot uzbrukuma virsmu. Drošības speciālisti iesaka AWS klientiem novērtēt un ieviest šo jauno vadīklu, lai aizsargātu viņu mākoņa vidi no vārdu sajaukšanas uzbrukumiem.