WhoAMI Serangan
Penyelidik keselamatan siber telah menemui serangan kekeliruan nama novel yang digelar 'whoAMI. ' Serangan ini membolehkan pelaku ancaman melaksanakan kod dalam akaun Amazon Web Services (AWS) dengan menerbitkan Imej Mesin Amazon (AMI) dengan nama tertentu. Kerentanan ini mempunyai implikasi yang ketara, kerana ia boleh membenarkan akses tanpa kebenaran kepada beribu-ribu akaun AWS.
Isi kandungan
Mengeksploitasi Carian AMI Salah konfigurasi
Teras serangan ini terletak pada taktik manipulasi rantaian bekalan. Ia melibatkan penggunaan AMI yang mengancam dan memperdaya perisian tersalah konfigurasi untuk menggunakannya dan bukannya versi yang sah. Kerentanan ini terdapat dalam kedua-dua repositori kod peribadi dan sumber terbuka, menjadikannya kebimbangan yang meluas.
Bagaimana Serangan Berfungsi
AWS membenarkan sesiapa sahaja untuk menerbitkan AMI, iaitu imej mesin maya yang digunakan untuk melancarkan tika Elastic Compute Cloud (EC2). Serangan itu mengambil kesempatan daripada fakta bahawa pembangun mungkin mengabaikan untuk menentukan atribut --owners apabila mencari AMI menggunakan ec2:DescribeImages API.
Untuk serangan ini berjaya, syarat berikut mesti dipenuhi:
- Carian AMI bergantung pada penapis nama.
- Carian tidak menyatakan parameter pemilik, alias pemilik atau ID pemilik.
- Permintaan mengambil imej yang paling baru dibuat (most_recent=true).
Apabila keadaan ini sejajar, penyerang boleh mencipta AMI penipuan dengan nama yang sepadan dengan corak carian sasaran. Akibatnya, tika EC2 dilancarkan menggunakan AMI yang terjejas oleh penyerang, memberikan keupayaan pelaksanaan kod jauh (RCE) dan mendayakan aktiviti pasca eksploitasi.
Persamaan dengan Serangan Kekeliruan Ketergantungan
Serangan ini mempunyai persamaan dengan eksploitasi kekeliruan kebergantungan, di mana kebergantungan perisian yang tidak selamat (seperti pakej pip) menggantikan yang sah. Walau bagaimanapun, dalam serangan whoAMI, sumber yang terjejas ialah imej mesin maya dan bukannya kebergantungan perisian.
Tindak Balas dan Langkah Keselamatan Amazon
Berikutan pendedahan serangan ini pada 16 September 2024, Amazon bertindak balas dengan segera dan menangani isu tersebut dalam masa tiga hari. Apple juga telah mengakui bahawa pelanggan yang mendapatkan ID AMI melalui ec2:DescribeImages API tanpa menyatakan nilai pemilik berisiko.
Untuk mengurangkan ancaman ini, AWS memperkenalkan ciri keselamatan baharu yang dipanggil AMI Dibenarkan pada Disember 2024. Tetapan seluruh akaun ini membolehkan pengguna menyekat penemuan dan penggunaan AMI dalam akaun AWS mereka, dengan ketara mengurangkan permukaan serangan. Pakar keselamatan mengesyorkan agar pelanggan AWS menilai dan melaksanakan kawalan baharu ini untuk melindungi persekitaran awan mereka daripada serangan kekeliruan nama.