Popust za več licenc
Računalniška varnost WhoAMI Attack

WhoAMI Attack

Do leta Mezo leta Računalniška varnost
Prevedi v:
Slovenščina

Raziskovalci kibernetske varnosti so odkrili nov napad z zamenjavo imen, poimenovan 'whoAMI. ' Ta napad akterjem groženj omogoča izvajanje kode znotraj računov Amazon Web Services (AWS) z objavo slike Amazon Machine (AMI) z določenim imenom. Ta ranljivost ima pomembne posledice, saj bi lahko omogočila nepooblaščen dostop do več tisoč računov AWS.

Izkoriščanje napačno konfiguriranih iskanj AMI

Jedro tega napada je v taktiki manipulacije dobavne verige. Vključuje uvedbo nevarnega AMI in zavajanje napačno konfigurirane programske opreme, da jo uporabi namesto zakonite različice. Ta ranljivost je prisotna v zasebnih in odprtokodnih repozitorijih kode, zaradi česar je zelo razširjena skrb.

Kako deluje napad

AWS vsakomur omogoča objavo AMI-jev, ki so slike navideznih strojev, ki se uporabljajo za zagon primerkov Elastic Compute Cloud (EC2). Napad izkorišča dejstvo, da lahko razvijalci zanemarijo podajanje atributa --owners, ko iščejo AMI z uporabo API-ja ec2:DescribeImages.

Da bi ta napad uspel, morajo biti izpolnjeni naslednji pogoji:

  • Iskanje AMI se opira na imenski filter.
  • Iskanje ne določa parametrov lastnika, vzdevka lastnika ali ID-ja lastnika.
  • Zahteva pridobi zadnjo ustvarjeno sliko (most_recent=true).

Ko se ti pogoji uskladijo, lahko napadalec ustvari goljufiv AMI z imenom, ki se ujema z iskalnim vzorcem tarče. Posledično se zažene instanca EC2 z uporabo napadalčevega ogroženega AMI, ki omogoča zmožnosti oddaljenega izvajanja kode (RCE) in omogoča dejavnosti po izkoriščanju.

Podobnosti z napadi zmede zaradi odvisnosti

Ta napad je podoben izkoriščanju zmede odvisnosti, kjer nevarne odvisnosti programske opreme (kot je paket pip) nadomestijo zakonite. Vendar pa je pri napadu whoAMI ogroženi vir slika navideznega stroja namesto odvisnosti od programske opreme.

Amazonov odziv in varnostni ukrepi

Po razkritju tega napada 16. septembra 2024 se je Amazon nemudoma odzval in težavo obravnaval v treh dneh. Apple je tudi priznal, da so stranke, ki pridobijo ID-je AMI prek API-ja ec2:DescribeImages brez navedbe lastniške vrednosti, ogrožene.

Da bi ublažil to grožnjo, je AWS decembra 2024 uvedel novo varnostno funkcijo, imenovano Allowed AMI-ji. Ta nastavitev za celoten račun omogoča uporabnikom, da omejijo odkrivanje in uporabo AMI-jev znotraj svojih računov AWS, kar znatno zmanjša površino napada. Varnostni strokovnjaki priporočajo, da stranke AWS ocenijo in implementirajo ta novi nadzor, da zaščitijo svoja okolja v oblaku pred napadi zamenjave imen.


Nalaganje...