Kuota e zbritjes me shumë licencë
Siguria kompjuterike KushAMI Sulmi

KushAMI Sulmi

Nga MezoSiguria kompjuterike
Përkthe në:
Shqip

Studiuesit e sigurisë kibernetike kanë zbuluar një sulm të ri të konfuzionit të emrit të quajtur "whoAMI". Ky sulm u mundëson aktorëve të kërcënimit të ekzekutojnë kodin brenda llogarive të Shërbimeve Ueb të Amazon (AWS) duke publikuar një imazh të makinës Amazon (AMI) me një emër specifik. Kjo dobësi ka implikime të rëndësishme, pasi mund të lejojë akses të paautorizuar në mijëra llogari AWS.

Shfrytëzimi i Kërkimeve AMI të konfiguruara gabimisht

Thelbi i këtij sulmi qëndron në një taktikë të manipulimit të zinxhirit të furnizimit. Ai përfshin vendosjen e një AMI kërcënuese dhe mashtrimin e softuerit të keqkonfiguruar për ta përdorur atë në vend të versionit legjitim. Kjo dobësi është e pranishme si në depot e kodeve private ashtu edhe në ato me burim të hapur, duke e bërë atë një shqetësim të përhapur.

Si funksionon sulmi

AWS lejon këdo të publikojë AMI, të cilat janë imazhe të makinës virtuale të përdorura për të nisur instancat Elastic Compute Cloud (EC2). Sulmi përfiton nga fakti që zhvilluesit mund të neglizhojnë të specifikojnë atributin --owners kur kërkojnë për një AMI duke përdorur ec2:DescribeImages API.

Që ky sulm të ketë sukses, duhet të plotësohen kushtet e mëposhtme:

  • Kërkimi AMI mbështetet në një filtër emri.
  • Kërkimi nuk specifikon parametrat e zotëruesit, pseudonimit ose identifikimit të pronarit.
  • Kërkesa merr imazhin e krijuar më së fundi (most_recent=true).

Kur këto kushte përputhen, një sulmues mund të krijojë një AMI mashtruese me një emër që përputhet me modelin e kërkimit të objektivit. Si rezultat, një shembull EC2 lëshohet duke përdorur AMI-në e komprometuar të sulmuesit, duke dhënë aftësi të ekzekutimit të kodit në distancë (RCE) dhe duke mundësuar aktivitete pas shfrytëzimit.

Ngjashmëritë me Sulmet e Konfuzionit të Varësisë

Ky sulm ka ngjashmëri me shfrytëzimet e konfuzionit të varësisë, ku varësitë e pasigurta të softuerit (siç është një paketë pip) zëvendësojnë ato legjitime. Megjithatë, në sulmin whoAMI, burimi i komprometuar është një imazh i makinës virtuale në vend të një varësie nga softueri.

Përgjigja e Amazon dhe Masat e Sigurisë

Pas zbulimit të këtij sulmi më 16 shtator 2024, Amazon u përgjigj menjëherë dhe e adresoi çështjen brenda tre ditëve. Apple ka pranuar gjithashtu se klientët që marrin ID-të AMI përmes ec2:DescribeImages API pa specifikuar vlerën e pronarit janë në rrezik.

Për të zbutur këtë kërcënim, AWS prezantoi një veçori të re sigurie të quajtur AMI të lejuara në dhjetor 2024. Ky cilësim në të gjithë llogarinë i lejon përdoruesit të kufizojnë zbulimin dhe përdorimin e AMI-ve brenda llogarive të tyre AWS, duke reduktuar ndjeshëm sipërfaqen e sulmit. Profesionistët e sigurisë rekomandojnë që klientët AWS të vlerësojnë dhe zbatojnë këtë kontroll të ri për të mbrojtur mjediset e tyre cloud nga sulmet e konfuzionit të emrave.


Po ngarkohet...