WhoAMI Атака
Исследователи кибербезопасности обнаружили новую атаку с путаницей имен, получившую название «whoAMI». Эта атака позволяет злоумышленникам выполнять код в учетных записях Amazon Web Services (AWS), публикуя Amazon Machine Image (AMI) с определенным именем. Эта уязвимость имеет серьезные последствия, поскольку она может позволить несанкционированный доступ к тысячам учетных записей AWS.
Оглавление
Использование неправильно настроенных поисков AMI
Суть этой атаки заключается в тактике манипуляции цепочкой поставок. Она включает в себя развертывание угрожающего AMI и обман неправильно настроенного программного обеспечения, заставляя его использовать вместо легитимной версии. Эта уязвимость присутствует как в закрытых, так и в открытых репозиториях кода, что делает ее широко распространенной проблемой.
Как работает атака
AWS позволяет кому угодно публиковать AMI, которые являются образами виртуальных машин, используемыми для запуска экземпляров Elastic Compute Cloud (EC2). Атака использует тот факт, что разработчики могут забыть указать атрибут --owners при поиске AMI с помощью API ec2:DescribeImages.
Для успеха этой атаки необходимо соблюдение следующих условий:
- Поиск AMI основан на фильтре имен.
- При поиске не указываются параметры владельца, псевдонима владельца или идентификатора владельца.
- Запрос извлекает последнее созданное изображение (most_recent=true).
Когда эти условия совпадают, злоумышленник может создать мошеннический AMI с именем, соответствующим шаблону поиска цели. В результате экземпляр EC2 запускается с использованием скомпрометированного AMI злоумышленника, предоставляя возможности удаленного выполнения кода (RCE) и активируя действия после эксплуатации.
Сходства с атаками, основанными на путанице зависимостей
Эта атака имеет сходство с эксплойтами путаницы зависимостей, где небезопасные программные зависимости (например, пакет pip) заменяют легитимные. Однако в атаке whoAMI скомпрометированным ресурсом является образ виртуальной машины, а не программная зависимость.
Ответ Amazon и меры безопасности
После раскрытия этой атаки 16 сентября 2024 года Amazon отреагировала оперативно и устранила проблему в течение трех дней. Apple также признала, что клиенты, которые получают идентификаторы AMI через API ec2:DescribeImages без указания значения владельца, подвергаются риску.
Чтобы смягчить эту угрозу, AWS представила новую функцию безопасности под названием Allowed AMIs в декабре 2024 года. Эта настройка для всей учетной записи позволяет пользователям ограничивать обнаружение и использование AMI в своих учетных записях AWS, что значительно сокращает поверхность атаки. Специалисты по безопасности рекомендуют клиентам AWS оценить и внедрить этот новый элемент управления, чтобы защитить свои облачные среды от атак с использованием путаницы имен.