WhoAMI Atacul
Cercetătorii în domeniul securității cibernetice au descoperit un nou atac de confuzie de nume numit „whoAMI”. Acest atac le permite actorilor de amenințări să execute cod în conturile Amazon Web Services (AWS) prin publicarea unei imagini Amazon Machine (AMI) cu un nume specific. Această vulnerabilitate are implicații semnificative, deoarece ar putea permite accesul neautorizat la mii de conturi AWS.
Cuprins
Exploatarea căutărilor AMI configurate greșit
Miezul acestui atac constă într-o tactică de manipulare a lanțului de aprovizionare. Implica implementarea unui AMI amenințător și înșelarea software-ului configurat greșit pentru a-l folosi în locul versiunii legitime. Această vulnerabilitate este prezentă atât în depozitele private, cât și în cele cu sursă deschisă, ceea ce o face o preocupare larg răspândită.
Cum funcționează atacul
AWS permite oricui să publice AMI-uri, care sunt imagini de mașini virtuale utilizate pentru a lansa instanțe Elastic Compute Cloud (EC2). Atacul profită de faptul că dezvoltatorii pot neglija să specifice atributul --owners atunci când caută o AMI folosind API-ul ec2:DescribeImages.
Pentru ca acest atac să reușească, trebuie îndeplinite următoarele condiții:
- Căutarea AMI se bazează pe un filtru de nume.
- Căutarea nu specifică parametrii proprietarului, aliasului proprietarului sau ID-ului proprietarului.
- Solicitarea preia cea mai recentă imagine creată (most_recent=true).
Când aceste condiții se aliniază, un atacator poate crea o AMI frauduloasă cu un nume care se potrivește cu modelul de căutare al țintei. Ca rezultat, o instanță EC2 este lansată folosind AMI compromisă a atacatorului, oferind capabilități de execuție a codului la distanță (RCE) și permițând activitățile post-exploatare.
Asemănări cu atacurile de confuzie în dependență
Acest atac prezintă asemănări cu exploatările de confuzie de dependență, în care dependențele software nesigure (cum ar fi un pachet pip) le înlocuiesc pe cele legitime. Cu toate acestea, în atacul whoAMI, resursa compromisă este o imagine de mașină virtuală în loc de o dependență de software.
Răspunsul Amazon și măsurile de securitate
În urma dezvăluirii acestui atac pe 16 septembrie 2024, Amazon a răspuns prompt și a rezolvat problema în termen de trei zile. Apple a recunoscut, de asemenea, că clienții care preiau ID-uri AMI prin API-ul ec2:DescribeImages fără a specifica valoarea proprietarului sunt expuși riscului.
Pentru a atenua această amenințare, AWS a introdus o nouă caracteristică de securitate numită AMI-uri permise în decembrie 2024. Această setare la nivelul întregului cont permite utilizatorilor să restricționeze descoperirea și utilizarea AMI-urilor în conturile lor AWS, reducând în mod semnificativ suprafața de atac. Profesioniștii în securitate recomandă clienților AWS să evalueze și să implementeze acest nou control pentru a-și proteja mediile cloud de atacurile de confuzie de nume.