Rabattoffert för flera licenser
Datorsäkerhet WhoAMI Attack

WhoAMI Attack

Med Mezo år Datorsäkerhet
Översätt till:
Svenska

Cybersäkerhetsforskare har avslöjat en ny namnförvirringsattack kallad 'whoAMI. ' Denna attack gör det möjligt för hotaktörer att exekvera kod inom Amazon Web Services (AWS)-konton genom att publicera en Amazon Machine Image (AMI) med ett specifikt namn. Denna sårbarhet har betydande konsekvenser, eftersom den kan tillåta obehörig åtkomst till tusentals AWS-konton.

Utnyttja felkonfigurerade AMI-sökningar

Kärnan i denna attack ligger i en taktik för manipulation av leveranskedjan. Det handlar om att distribuera en hotande AMI och lura felkonfigurerad programvara till att använda den istället för den legitima versionen. Denna sårbarhet finns i både privata och öppen källkodsförråd, vilket gör det till ett utbrett problem.

Hur attacken fungerar

AWS tillåter vem som helst att publicera AMI:er, som är virtuella maskinbilder som används för att starta Elastic Compute Cloud (EC2)-instanser. Attacken drar fördel av det faktum att utvecklare kan försumma att specificera --owners-attributet när de söker efter en AMI med ec2:DescribeImages API.

För att denna attack ska lyckas måste följande villkor vara uppfyllda:

  • AMI-sökningen bygger på ett namnfilter.
  • Sökningen anger inte parametrarna för ägare, ägare-alias eller ägare-ID.
  • Begäran hämtar den senast skapade bilden (most_recent=true).

När dessa villkor överensstämmer kan en angripare skapa en bedräglig AMI med ett namn som matchar målets sökmönster. Som ett resultat startas en EC2-instans med angriparens komprometterade AMI, vilket ger funktioner för fjärrkodexekvering (RCE) och möjliggör aktiviteter efter exploatering.

Likheter med beroendeförvirringsattacker

Denna attack har likheter med beroendeförvirring, där osäkra mjukvaruberoenden (som ett pip-paket) ersätter legitima. Men i whoAMI-attacken är den komprometterade resursen en virtuell maskinavbildning istället för ett mjukvaruberoende.

Amazons svar och säkerhetsåtgärder

Efter avslöjandet av denna attack den 16 september 2024, svarade Amazon snabbt och åtgärdade problemet inom tre dagar. Apple har också erkänt att kunder som hämtar AMI-ID:n via ec2:DescribeImages API utan att ange ett ägarvärde är i riskzonen.

För att mildra detta hot introducerade AWS en ny säkerhetsfunktion som heter Tillåtna AMI:er i december 2024. Denna kontoomfattande inställning tillåter användare att begränsa upptäckten och användningen av AMI:s inom sina AWS-konton, vilket avsevärt minskar attackytan. Säkerhetsspecialister rekommenderar att AWS-kunder utvärderar och implementerar denna nya kontroll för att skydda sina molnmiljöer från namnförvirringsattacker.


Läser in...