Cotação de desconto para licenças múltiplas
Segurança do Computador whoAMI Attack

whoAMI Attack

Por Mezo em Segurança do Computador
Traduzir Para:
Português

Os pesquisadores de segurança cibernética descobriram um novo ataque de confusão de nomes chamado 'whoAMI'. Esse ataque permite que agentes de ameaças executem códigos em contas do Amazon Web Services (AWS) publicando uma Amazon Machine Image (AMI) com um nome específico. Essa vulnerabilidade tem implicações significativas, pois pode permitir acesso não autorizado a milhares de contas da AWS.

Explorando Pesquisas de AMI Mal Configuradas

O cerne desse ataque está em uma tática de manipulação da cadeia de suprimentos. Ele envolve a implantação de um AMI ameaçador e enganar softwares mal configurados para usá-la em vez da versão legítima. Essa vulnerabilidade está presente em repositórios de código privado e de código aberto, o que a torna uma preocupação generalizada.

Como o Ataque Funciona

O AWS permite que qualquer pessoa publique AMIs, que são imagens de máquinas virtuais usadas para iniciar instâncias do Elastic Compute Cloud (EC2). O ataque aproveita o fato de que os desenvolvedores podem negligenciar a especificação do atributo --owners ao pesquisar uma AMI usando a API ec2:DescribeImages.

Para que este ataque tenha sucesso, as seguintes condições devem ser atendidas:

  • A pesquisa AMI depende de um filtro de nomes.
  • A pesquisa não especifica os parâmetros owner, owner-alias ou owner-ID.
  • A solicitação busca a imagem criada mais recentemente (most_recent=true).

Quando essas condições se alinham, um invasor pode criar uma AMI fraudulenta com um nome que corresponde ao padrão de pesquisa do alvo. Como resultado, uma instância EC2 é iniciada usando o AMI comprometida do invasor, concedendo recursos de execução remota de código (RCE) e permitindo atividades pós-exploração.

Semelhanças com Ataques de Confusão de Dependência

Este ataque tem semelhanças com exploits de confusão de dependência, onde dependências de software inseguras (como um pacote pip) substituem as legítimas. No entanto, no ataque whoAMI, o recurso comprometido é uma imagem de máquina virtual em vez de uma dependência de software.

Resposta e Medidas de Segurança do Amazon

Após a divulgação deste ataque em 16 de setembro de 2024, o Amazon respondeu prontamente e resolveu o problema em três dias. A Apple também reconheceu que os clientes que recuperam IDs de AMI por meio da API ec2:DescribeImages sem especificar um valor de proprietário estão em risco.

Para mitigar essa ameaça, o AWS introduziu um novo recurso de segurança chamado Allowed AMIs em dezembro de 2024. Essa configuração em toda a conta permite que os usuários restrinjam a descoberta e o uso de AMIs em suas contas do AWS, reduzindo significativamente a superfície de ataque. Os profissionais de segurança recomendam que os clientes do AWS avaliem e implementem esse novo controle para proteger seus ambientes de nuvem de ataques de confusão de nomes.

Carregando...