WhoAMI Attack
Natuklasan ng mga mananaliksik sa cybersecurity ang isang nobelang pag-atake ng pagkalito sa pangalan na tinatawag na 'whoAMI. ' Ang pag-atake na ito ay nagbibigay-daan sa mga aktor ng pagbabanta na magsagawa ng code sa loob ng mga account sa Amazon Web Services (AWS) sa pamamagitan ng pag-publish ng isang Amazon Machine Image (AMI) na may partikular na pangalan. Ang kahinaan na ito ay may malaking implikasyon, dahil maaari nitong payagan ang hindi awtorisadong pag-access sa libu-libong AWS account.
Talaan ng mga Nilalaman
Pinagsasamantalahan ang Maling Pag-configure ng Mga Paghahanap sa AMI
Ang pangunahing bahagi ng pag-atake na ito ay nasa isang taktika sa pagmamanipula ng supply chain. Kabilang dito ang pag-deploy ng nagbabantang AMI at panlilinlang sa maling pagkaka-configure ng software sa paggamit nito sa halip na ang lehitimong bersyon. Ang kahinaan na ito ay naroroon sa parehong pribado at open-source na mga imbakan ng code, na ginagawa itong isang malawak na alalahanin.
Paano Gumagana ang Pag-atake
Binibigyang-daan ng AWS ang sinuman na mag-publish ng mga AMI, na mga imahe ng virtual machine na ginagamit upang ilunsad ang mga instance ng Elastic Compute Cloud (EC2). Sinasamantala ng pag-atake ang katotohanan na ang mga developer ay maaaring magpabaya na tukuyin ang --owners attribute kapag naghahanap ng AMI gamit ang ec2:DescribeImages API.
Para magtagumpay ang pag-atakeng ito, dapat matugunan ang mga sumusunod na kundisyon:
- Ang paghahanap sa AMI ay umaasa sa isang filter ng pangalan.
- Hindi tinukoy ng paghahanap ang mga parameter ng may-ari, alias ng may-ari, o ID ng may-ari.
- Kinukuha ng kahilingan ang pinakakamakailang nilikhang larawan (most_recent=true).
Kapag naayon ang mga kundisyong ito, maaaring lumikha ang isang umaatake ng isang mapanlinlang na AMI na may pangalan na tumutugma sa pattern ng paghahanap ng target. Bilang resulta, inilunsad ang isang EC2 instance gamit ang nakompromisong AMI ng attacker, na nagbibigay ng mga kakayahan sa remote code execution (RCE) at nagpapagana ng mga aktibidad pagkatapos ng pagsasamantala.
Pagkakatulad sa Dependency Confusion Attacks
Ang pag-atake na ito ay may pagkakatulad sa mga pagsasamantala sa pagkalito sa dependency, kung saan pinapalitan ng mga hindi ligtas na dependency ng software (gaya ng isang pip package) ang mga lehitimong dependency. Gayunpaman, sa pag-atake ng whoAMI, ang nakompromisong mapagkukunan ay isang imahe ng virtual machine sa halip na isang dependency sa software.
Ang Tugon at Mga Panukala sa Seguridad ng Amazon
Kasunod ng pagbubunyag ng pag-atakeng ito noong Setyembre 16, 2024, agad na tumugon ang Amazon at tinugunan ang isyu sa loob ng tatlong araw. Kinikilala din ng Apple na ang mga customer na kumukuha ng mga AMI ID sa pamamagitan ng ec2:DescribeImages API nang hindi nagsasaad ng halaga ng may-ari ay nasa panganib.
Upang mabawasan ang banta na ito, ipinakilala ng AWS ang isang bagong feature ng seguridad na tinatawag na Mga Allowed AMI noong Disyembre 2024. Ang setting na ito sa buong account ay nagbibigay-daan sa mga user na paghigpitan ang pagtuklas at paggamit ng mga AMI sa loob ng kanilang mga AWS account, na makabuluhang binabawasan ang pag-atake. Inirerekomenda ng mga propesyonal sa seguridad na suriin at ipatupad ng mga customer ng AWS ang bagong kontrol na ito upang pangalagaan ang kanilang mga cloud environment mula sa mga pag-atake ng kalituhan sa pangalan.