Rabatttilbud for flere lisenser
Datasikkerhet WhoAMI angrep

WhoAMI angrep

Med Mezo i Datasikkerhet
Oversett til:
Norsk

Cybersikkerhetsforskere har avdekket et nytt navnforvirringsangrep kalt 'whoAMI. ' Dette angrepet gjør det mulig for trusselaktører å kjøre kode i Amazon Web Services (AWS)-kontoer ved å publisere et Amazon Machine Image (AMI) med et spesifikt navn. Dette sikkerhetsproblemet har betydelige implikasjoner, siden det kan tillate uautorisert tilgang til tusenvis av AWS-kontoer.

Utnyttelse av feilkonfigurerte AMI-søk

Kjernen i dette angrepet ligger i en taktikk for manipulering av forsyningskjeden. Det innebærer å distribuere en truende AMI og lure feilkonfigurert programvare til å bruke den i stedet for den legitime versjonen. Denne sårbarheten er tilstede i både private og åpen kildekodelager, noe som gjør det til en utbredt bekymring.

Hvordan angrepet fungerer

AWS lar hvem som helst publisere AMI-er, som er virtuelle maskinbilder som brukes til å starte Elastic Compute Cloud (EC2)-forekomster. Angrepet utnytter det faktum at utviklere kan unnlate å spesifisere --owners-attributtet når de søker etter en AMI ved å bruke ec2:DescribeImages API.

For at dette angrepet skal lykkes, må følgende betingelser være oppfylt:

  • AMI-søket er avhengig av et navnefilter.
  • Søket spesifiserer ikke parameterne for eier, eieralias eller eier-ID.
  • Forespørselen henter det sist opprettede bildet (most_recent=true).

Når disse forholdene stemmer overens, kan en angriper opprette en falsk AMI med et navn som samsvarer med målets søkemønster. Som et resultat blir en EC2-forekomst lansert ved å bruke angriperens kompromitterte AMI, som gir mulighet for ekstern kjøring av kode (RCE) og muliggjør aktiviteter etter utnyttelse.

Likheter med avhengighetsforvirringsangrep

Dette angrepet har likheter med avhengighetsforvirring, der usikre programvareavhengigheter (som en pip-pakke) erstatter legitime. I whoAMI-angrepet er imidlertid den kompromitterte ressursen et virtuell maskinbilde i stedet for en programvareavhengighet.

Amazons respons og sikkerhetstiltak

Etter avsløringen av dette angrepet 16. september 2024, svarte Amazon raskt og løste problemet innen tre dager. Apple har også erkjent at kunder som henter AMI-IDer gjennom ec2:DescribeImages API uten å spesifisere en eierverdi er i faresonen.

For å redusere denne trusselen introduserte AWS en ny sikkerhetsfunksjon kalt Tillatte AMI-er i desember 2024. Denne kontoomfattende innstillingen lar brukere begrense oppdagelsen og bruken av AMI-er i AWS-kontoene sine, noe som reduserer angrepsoverflaten betydelig. Sikkerhetseksperter anbefaler at AWS-kunder evaluerer og implementerer denne nye kontrollen for å beskytte skymiljøene deres mot navneforvirringsangrep.


Laster inn...