ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ WhoAMI โจมตี

WhoAMI โจมตี

โดย Mezo ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบการโจมตีแบบสับสนชื่อใหม่ที่เรียกว่า 'whoAMI' การโจมตีนี้ทำให้ผู้ก่อภัยคุกคามสามารถเรียกใช้โค้ดภายในบัญชี Amazon Web Services (AWS) ได้โดยการเผยแพร่ Amazon Machine Image (AMI) ที่มีชื่อเฉพาะ ช่องโหว่นี้ส่งผลกระทบอย่างมีนัยสำคัญ เนื่องจากอาจทำให้สามารถเข้าถึงบัญชี AWS หลายพันบัญชีโดยไม่ได้รับอนุญาต

การใช้ประโยชน์จากการค้นหา AMI ที่กำหนดค่าไม่ถูกต้อง

หัวใจสำคัญของการโจมตีครั้งนี้คือกลวิธีการควบคุมห่วงโซ่อุปทาน ซึ่งเกี่ยวข้องกับการใช้ AMI ที่เป็นอันตรายและหลอกให้ซอฟต์แวร์ที่กำหนดค่าไม่ถูกต้องใช้แทนเวอร์ชันที่ถูกต้อง ช่องโหว่นี้พบได้ทั้งในที่เก็บโค้ดแบบส่วนตัวและแบบโอเพ่นซอร์ส ทำให้กลายเป็นปัญหาที่แพร่หลาย

การโจมตีทำงานอย่างไร

AWS อนุญาตให้ทุกคนเผยแพร่ AMI ซึ่งเป็นอิมเมจของเครื่องเสมือนที่ใช้ในการเปิดใช้งานอินสแตนซ์ Elastic Compute Cloud (EC2) การโจมตีนี้ใช้ประโยชน์จากข้อเท็จจริงที่ว่านักพัฒนาอาจละเลยที่จะระบุแอตทริบิวต์ --owners เมื่อค้นหา AMI โดยใช้ API ec2:DescribeImages

หากต้องการให้การโจมตีนี้ประสบความสำเร็จ จะต้องปฏิบัติตามเงื่อนไขต่อไปนี้:

  • การค้นหา AMI อาศัยตัวกรองชื่อ
  • การค้นหาไม่ได้ระบุเจ้าของ นามแฝงเจ้าของ หรือพารามิเตอร์ ID เจ้าของ
  • คำขอนี้จะดึงรูปภาพที่ถูกสร้างล่าสุด (most_recent=true)

เมื่อเงื่อนไขเหล่านี้สอดคล้องกัน ผู้โจมตีสามารถสร้าง AMI ปลอมที่มีชื่อตรงกับรูปแบบการค้นหาของเป้าหมายได้ เป็นผลให้อินสแตนซ์ EC2 เปิดใช้งานโดยใช้ AMI ที่ถูกบุกรุกของผู้โจมตี ทำให้สามารถเปิดใช้งานความสามารถในการรันโค้ดจากระยะไกล (RCE) และเปิดใช้งานกิจกรรมหลังการใช้ประโยชน์ได้

ความคล้ายคลึงกับการโจมตีแบบ Dependency Confusion

การโจมตีนี้มีความคล้ายคลึงกับช่องโหว่ที่ทำให้เกิดความสับสนในการอ้างอิง โดยการอ้างอิงซอฟต์แวร์ที่ไม่ปลอดภัย (เช่น แพ็กเกจ pip) จะเข้ามาแทนที่การอ้างอิงซอฟต์แวร์ที่ถูกต้อง อย่างไรก็ตาม ในการโจมตี whoAMI ทรัพยากรที่ถูกบุกรุกจะเป็นอิมเมจของเครื่องเสมือนแทนที่จะเป็นการอ้างอิงซอฟต์แวร์

การตอบสนองและมาตรการรักษาความปลอดภัยของ Amazon

หลังจากมีการเปิดเผยการโจมตีนี้เมื่อวันที่ 16 กันยายน 2024 Amazon ตอบสนองอย่างรวดเร็วและแก้ไขปัญหาภายในสามวัน Apple ยังยอมรับด้วยว่าลูกค้าที่ดึงข้อมูล AMI ID ผ่าน API ec2:DescribeImages โดยไม่ได้ระบุค่าเจ้าของจะมีความเสี่ยง

เพื่อบรรเทาภัยคุกคามนี้ AWS ได้เปิดตัวฟีเจอร์ความปลอดภัยใหม่ที่เรียกว่า Allowed AMIs ในเดือนธันวาคม 2024 การตั้งค่าระดับบัญชีนี้ช่วยให้ผู้ใช้สามารถจำกัดการค้นพบและการใช้งาน AMI ภายในบัญชี AWS ของตนได้ ซึ่งจะช่วยลดพื้นที่การโจมตีได้อย่างมาก ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ลูกค้า AWS ประเมินและนำการควบคุมใหม่นี้ไปใช้เพื่อปกป้องสภาพแวดล้อมบนคลาวด์ของตนจากการโจมตีโดยใช้ชื่อที่สับสน


กำลังโหลด...