Знижка на кілька ліцензій
Комп'ютерна безпека Атака whoAMI

Атака whoAMI

До Mezo року в Комп'ютерна безпека році
Перекласти на:
Українська

Дослідники кібербезпеки виявили нову атаку плутанини імен під назвою «whoAMI». ' Ця атака дає змогу зловмисникам виконувати код в облікових записах Amazon Web Services (AWS), публікуючи образ машини Amazon (AMI) із певною назвою. Ця вразливість має значні наслідки, оскільки може дозволити несанкціонований доступ до тисяч облікових записів AWS.

Використання неправильно налаштованих пошуків AMI

Суть цієї атаки полягає в тактиці маніпулювання ланцюгом поставок. Це включає в себе розгортання загрозливого AMI та обманом неправильно налаштованого програмного забезпечення для використання його замість законної версії. Ця вразливість присутня як у приватних, так і в відкритих сховищах коду, що викликає широке занепокоєння.

Як працює атака

AWS дозволяє будь-кому публікувати AMI, які є образами віртуальних машин, які використовуються для запуску екземплярів Elastic Compute Cloud (EC2). Атака використовує той факт, що розробники можуть не вказати атрибут --owners під час пошуку AMI за допомогою API ec2:DescribeImages.

Щоб ця атака була успішною, мають бути виконані такі умови:

  • Пошук AMI покладається на фільтр імен.
  • Пошук не вказує параметри власника, псевдонім власника або ідентифікатор власника.
  • Запит отримує останнє створене зображення (most_recent=true).

Коли ці умови збігаються, зловмисник може створити шахрайський AMI з іменем, яке відповідає шаблону пошуку цілі. У результаті екземпляр EC2 запускається з використанням скомпрометованого AMI зловмисника, надаючи можливості віддаленого виконання коду (RCE) і активуючи дії після експлуатації.

Подібність до атак плутанини залежностей

Ця атака подібна до експлойтів плутанини залежностей, коли небезпечні залежності програмного забезпечення (наприклад, пакет pip) замінюють легітимні. Однак під час атаки whoAMI скомпрометованим ресурсом є образ віртуальної машини, а не програмна залежність.

Реакція Amazon і заходи безпеки

Після розкриття цієї атаки 16 вересня 2024 року Amazon негайно відреагувала та вирішила проблему протягом трьох днів. Apple також визнала, що клієнти, які отримують ідентифікатори AMI через API ec2:DescribeImages без вказівки значення власника, знаходяться під загрозою.

Щоб пом’якшити цю загрозу, у грудні 2024 року AWS представила нову функцію безпеки під назвою «Дозволені AMI». Це налаштування для всього облікового запису дозволяє користувачам обмежувати виявлення та використання AMI у своїх облікових записах AWS, значно зменшуючи площу атаки. Фахівці з безпеки рекомендують клієнтам AWS оцінити та запровадити цей новий елемент керування, щоб захистити свої хмарні середовища від атак плутанини з іменами.


Завантаження...