Atak whoAMI
Badacze cyberbezpieczeństwa odkryli nowy atak polegający na pomyłce nazw, nazwany „whoAMI”. Ten atak umożliwia atakującym wykonywanie kodu w kontach Amazon Web Services (AWS) poprzez publikowanie obrazu Amazon Machine Image (AMI) o określonej nazwie. Ta luka ma znaczące implikacje, ponieważ może umożliwić nieautoryzowany dostęp do tysięcy kont AWS.
Spis treści
Wykorzystywanie błędnie skonfigurowanych wyszukiwań AMI
Sednem tego ataku jest taktyka manipulacji łańcuchem dostaw. Polega ona na wdrożeniu groźnego AMI i oszukaniu nieprawidłowo skonfigurowanego oprogramowania, aby używało go zamiast legalnej wersji. Ta luka występuje zarówno w prywatnych, jak i otwartych repozytoriach kodu, co czyni ją powszechnym problemem.
Jak działa atak
AWS pozwala każdemu publikować AMI, czyli obrazy maszyn wirtualnych używane do uruchamiania instancji Elastic Compute Cloud (EC2). Atak wykorzystuje fakt, że programiści mogą nie określić atrybutu --owners podczas wyszukiwania AMI przy użyciu interfejsu API ec2:DescribeImages.
Aby atak się powiódł, muszą być spełnione następujące warunki:
- Wyszukiwanie AMI opiera się na filtrze nazw.
- W wyszukiwaniu nie są określane parametry właściciela, aliasu właściciela ani identyfikatora właściciela.
- Żądanie pobiera ostatnio utworzony obraz (most_recent=true).
Gdy te warunki się zgrają, atakujący może utworzyć oszukańczy obraz AMI o nazwie pasującej do wzorca wyszukiwania celu. W rezultacie instancja EC2 jest uruchamiana przy użyciu skompromitowanego obrazu AMI atakującego, przyznając możliwości zdalnego wykonywania kodu (RCE) i umożliwiając działania poeksploatacyjne.
Podobieństwa do ataków Dependency Confusion
Ten atak jest podobny do exploitów dependency confused, gdzie niebezpieczne zależności oprogramowania (takie jak pakiet pip) zastępują legalne. Jednak w ataku whoAMI zagrożonym zasobem jest obraz maszyny wirtualnej, a nie zależność oprogramowania.
Reakcja Amazon i środki bezpieczeństwa
Po ujawnieniu tego ataku 16 września 2024 r. Amazon zareagował natychmiast i zajął się problemem w ciągu trzech dni. Apple przyznał również, że klienci, którzy pobierają identyfikatory AMI za pośrednictwem interfejsu API ec2:DescribeImages bez określania wartości właściciela, są narażeni na ryzyko.
Aby złagodzić to zagrożenie, AWS wprowadziło nową funkcję zabezpieczeń o nazwie Allowed AMIs w grudniu 2024 r. To ustawienie obejmujące całe konto pozwala użytkownikom ograniczyć wykrywanie i używanie AMIs w obrębie ich kont AWS, znacznie zmniejszając powierzchnię ataku. Specjaliści ds. bezpieczeństwa zalecają klientom AWS ocenę i wdrożenie tej nowej kontroli w celu zabezpieczenia ich środowisk chmurowych przed atakami polegającymi na pomyłce nazw.