WhoAMI-aanval
Cybersecurity-onderzoekers hebben een nieuwe naamverwarringsaanval ontdekt met de naam 'whoAMI'. Deze aanval stelt kwaadwillenden in staat om code uit te voeren binnen Amazon Web Services (AWS)-accounts door een Amazon Machine Image (AMI) te publiceren met een specifieke naam. Deze kwetsbaarheid heeft belangrijke implicaties, omdat het ongeautoriseerde toegang tot duizenden AWS-accounts mogelijk zou kunnen maken.
Inhoudsopgave
Misconfigureerde AMI-zoekopdrachten uitbuiten
De kern van deze aanval ligt in een tactiek voor manipulatie van de toeleveringsketen. Het omvat het implementeren van een bedreigende AMI en het misleiden van verkeerd geconfigureerde software om deze te gebruiken in plaats van de legitieme versie. Deze kwetsbaarheid is aanwezig in zowel private als open-source code repositories, wat het een wijdverbreide zorg maakt.
Hoe de aanval werkt
Met AWS kan iedereen AMI's publiceren, wat virtuele machine-images zijn die worden gebruikt om Elastic Compute Cloud (EC2)-instanties te starten. De aanval maakt gebruik van het feit dat ontwikkelaars mogelijk het --owners-kenmerk vergeten te specificeren bij het zoeken naar een AMI met behulp van de ec2:DescribeImages API.
Om deze aanval te laten slagen, moet aan de volgende voorwaarden worden voldaan:
- De AMI-zoekopdracht maakt gebruik van een naamfilter.
- Bij het zoeken worden de parameters eigenaar, eigenaarsalias of eigenaars-ID niet opgegeven.
- Het verzoek haalt de meest recent gemaakte afbeelding op (most_recent=true).
Wanneer deze voorwaarden overeenkomen, kan een aanvaller een frauduleuze AMI maken met een naam die overeenkomt met het zoekpatroon van het doelwit. Als gevolg hiervan wordt een EC2-instantie gestart met behulp van de gecompromitteerde AMI van de aanvaller, waardoor remote code execution (RCE)-mogelijkheden worden verleend en post-exploitatie-activiteiten mogelijk worden gemaakt.
Overeenkomsten met afhankelijkheidsverwarringaanvallen
Deze aanval vertoont overeenkomsten met exploits voor afhankelijkheidsverwarring, waarbij onveilige softwareafhankelijkheden (zoals een pip-pakket) legitieme vervangen. Bij de whoAMI-aanval is de gecompromitteerde resource echter een image van een virtuele machine in plaats van een softwareafhankelijkheid.
Reactie en veiligheidsmaatregelen van Amazon
Na de bekendmaking van deze aanval op 16 september 2024 reageerde Amazon snel en loste het probleem binnen drie dagen op. Apple heeft ook erkend dat klanten die AMI-ID's ophalen via de ec2:DescribeImages API zonder een eigenaarswaarde op te geven, risico lopen.
Om deze dreiging te beperken, introduceerde AWS in december 2024 een nieuwe beveiligingsfunctie genaamd Allowed AMIs. Met deze accountbrede instelling kunnen gebruikers de detectie en het gebruik van AMI's binnen hun AWS-accounts beperken, waardoor het aanvalsoppervlak aanzienlijk wordt verkleind. Beveiligingsprofessionals raden AWS-klanten aan deze nieuwe controle te evalueren en te implementeren om hun cloudomgevingen te beschermen tegen naamverwarringsaanvallen.