Multilicenčná zľavová ponuka
Počítačová bezpečnosť WhoAMI Attack

WhoAMI Attack

Do roku Mezo v roku Počítačová bezpečnosť
Preložiť do:
Slovenčina

Výskumníci v oblasti kybernetickej bezpečnosti odhalili nový útok na zmätok s názvom „whoAMI“. Tento útok umožňuje aktérom hrozieb spustiť kód v rámci účtov Amazon Web Services (AWS) zverejnením obrazu Amazon Machine Image (AMI) so špecifickým názvom. Táto zraniteľnosť má významné dôsledky, pretože by mohla umožniť neoprávnený prístup k tisíckam účtov AWS.

Využívanie nesprávne nakonfigurovaných vyhľadávaní AMI

Jadro tohto útoku spočíva v taktike manipulácie s dodávateľským reťazcom. Zahŕňa nasadenie hroziaceho AMI a oklamanie nesprávne nakonfigurovaného softvéru, aby ho použil namiesto legitímnej verzie. Táto zraniteľnosť je prítomná v súkromných aj open source repozitároch, čo z nej robí rozšírený problém.

Ako funguje útok

AWS umožňuje komukoľvek publikovať AMI, čo sú obrazy virtuálnych strojov používané na spustenie inštancií Elastic Compute Cloud (EC2). Útok využíva skutočnosť, že vývojári môžu zanedbať zadanie atribútu --owners pri hľadaní AMI pomocou ec2:DescribeImages API.

Aby bol útok úspešný, musia byť splnené nasledujúce podmienky:

  • Vyhľadávanie AMI sa spolieha na filter názvu.
  • Vyhľadávanie nešpecifikuje parametre vlastníka, alias vlastníka alebo ID vlastníka.
  • Požiadavka načíta naposledy vytvorený obrázok (most_recent=true).

Keď sa tieto podmienky zhodujú, útočník môže vytvoriť podvodné AMI s názvom zodpovedajúcim vzoru vyhľadávania cieľa. Výsledkom je spustenie inštancie EC2 pomocou napadnutého AMI útočníka, ktoré poskytuje možnosti vzdialeného spustenia kódu (RCE) a umožňuje aktivity po zneužití.

Podobnosti so Závislosťami zmätenými útokmi

Tento útok má podobnosť s využívaním zmätku závislostí, kde nebezpečné softvérové závislosti (napríklad balík pip) nahrádzajú legitímne závislosti. Pri útoku whoAMI je však kompromitovaným prostriedkom obraz virtuálneho počítača namiesto závislosti od softvéru.

Odozva Amazonu a bezpečnostné opatrenia

Po odhalení tohto útoku 16. septembra 2024 Amazon promptne zareagoval a problém vyriešil do troch dní. Spoločnosť Apple tiež uznala, že zákazníci, ktorí získavajú AMI ID prostredníctvom ec2:DescribeImages API bez zadania hodnoty vlastníka, sú ohrození.

Na zmiernenie tejto hrozby zaviedla AWS v decembri 2024 novú bezpečnostnú funkciu s názvom Allowed AMIs. Toto nastavenie pre celý účet umožňuje používateľom obmedziť objavovanie a používanie AMI v rámci ich účtov AWS, čím sa výrazne znižuje plocha útoku. Profesionáli v oblasti bezpečnosti odporúčajú, aby zákazníci AWS vyhodnotili a implementovali tento nový ovládací prvok na ochranu svojich cloudových prostredí pred útokmi na zmätenie názvov.


Načítava...