WhoAMI Saldırısı
Siber güvenlik araştırmacıları, 'whoAMI' olarak adlandırılan yeni bir isim karışıklığı saldırısını ortaya çıkardı. Bu saldırı, tehdit aktörlerinin belirli bir adla bir Amazon Makine Görüntüsü (AMI) yayınlayarak Amazon Web Hizmetleri (AWS) hesapları içinde kod yürütmesini sağlıyor. Bu güvenlik açığının önemli etkileri var çünkü binlerce AWS hesabına yetkisiz erişime izin verebilir.
İçindekiler
Yanlış Yapılandırılmış AMI Aramalarını Kullanma
Bu saldırının özünde bir tedarik zinciri manipülasyon taktiği yatmaktadır. Tehdit edici bir AMI dağıtmayı ve yanlış yapılandırılmış yazılımı meşru sürüm yerine onu kullanmaya kandırmayı içerir. Bu güvenlik açığı hem özel hem de açık kaynaklı kod depolarında mevcuttur ve bu da onu yaygın bir endişe haline getirir.
Saldırı Nasıl Çalışır?
AWS, herkesin Elastic Compute Cloud (EC2) örneklerini başlatmak için kullanılan sanal makine görüntüleri olan AMI'leri yayınlamasına izin verir. Saldırı, geliştiricilerin ec2:DescribeImages API'sini kullanarak bir AMI ararken --owners özniteliğini belirtmeyi ihmal edebileceği gerçeğinden yararlanır.
Bu saldırının başarılı olabilmesi için aşağıdaki koşulların sağlanması gerekiyor:
- AMI araması bir isim filtresine dayanır.
- Arama, sahip, sahip takma adı veya sahip kimliği parametrelerini belirtmiyor.
- İstek en son oluşturulan resmi (most_recent=true) getirir.
Bu koşullar uyumlu olduğunda, bir saldırgan hedefin arama örüntüsüyle eşleşen bir adla sahte bir AMI oluşturabilir. Sonuç olarak, saldırganın tehlikeye atılmış AMI'sini kullanarak bir EC2 örneği başlatılır, uzaktan kod yürütme (RCE) yetenekleri verilir ve istismar sonrası etkinlikler etkinleştirilir.
Bağımlılık Karmaşası Saldırılarına Benzerlikler
Bu saldırı, güvenli olmayan yazılım bağımlılıklarının (örneğin bir pip paketi) meşru olanların yerini aldığı bağımlılık karışıklığı istismarlarına benzerlikler taşır. Ancak, whoAMI saldırısında, tehlikeye atılan kaynak bir yazılım bağımlılığı yerine sanal makine görüntüsüdür.
Amazon'un Tepkisi ve Güvenlik Önlemleri
Bu saldırının 16 Eylül 2024'te ifşa edilmesinin ardından Amazon derhal yanıt verdi ve sorunu üç gün içinde ele aldı. Apple ayrıca, bir sahip değeri belirtmeden ec2:DescribeImages API'si aracılığıyla AMI kimliklerini alan müşterilerin risk altında olduğunu kabul etti.
Bu tehdidi azaltmak için AWS, Aralık 2024'te İzin Verilen AMI'ler adlı yeni bir güvenlik özelliği tanıttı. Bu hesap genelindeki ayar, kullanıcıların AWS hesapları içindeki AMI'lerin keşfini ve kullanımını kısıtlamasına olanak tanır ve saldırı yüzeyini önemli ölçüde azaltır. Güvenlik uzmanları, AWS müşterilerinin bulut ortamlarını isim karışıklığı saldırılarından korumak için bu yeni denetimi değerlendirmelerini ve uygulamalarını öneriyor.