Tấn công whoAMI
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một cuộc tấn công nhầm lẫn tên mới có tên là 'whoAMI'. Cuộc tấn công này cho phép các tác nhân đe dọa thực thi mã trong các tài khoản Amazon Web Services (AWS) bằng cách xuất bản Amazon Machine Image (AMI) với một tên cụ thể. Lỗ hổng này có ý nghĩa quan trọng vì nó có thể cho phép truy cập trái phép vào hàng nghìn tài khoản AWS.
Mục lục
Khai thác các tìm kiếm AMI được cấu hình sai
Cốt lõi của cuộc tấn công này nằm ở chiến thuật thao túng chuỗi cung ứng. Nó bao gồm việc triển khai một AMI đe dọa và lừa phần mềm được cấu hình sai để sử dụng nó thay vì phiên bản hợp lệ. Lỗ hổng này hiện diện trong cả kho lưu trữ mã nguồn mở và riêng tư, khiến nó trở thành mối quan tâm rộng rãi.
Cuộc tấn công diễn ra như thế nào
AWS cho phép bất kỳ ai xuất bản AMI, là hình ảnh máy ảo được sử dụng để khởi chạy các phiên bản Elastic Compute Cloud (EC2). Cuộc tấn công lợi dụng thực tế là các nhà phát triển có thể quên chỉ định thuộc tính --owners khi tìm kiếm AMI bằng API ec2:DescribeImages.
Để cuộc tấn công này thành công, các điều kiện sau đây phải được đáp ứng:
- Tìm kiếm AMI dựa vào bộ lọc tên.
- Tìm kiếm không chỉ rõ các tham số chủ sở hữu, bí danh chủ sở hữu hoặc ID chủ sở hữu.
- Yêu cầu này sẽ lấy hình ảnh được tạo gần đây nhất (most_recent=true).
Khi các điều kiện này phù hợp, kẻ tấn công có thể tạo ra một AMI gian lận với tên trùng khớp với mẫu tìm kiếm của mục tiêu. Kết quả là, một phiên bản EC2 được khởi chạy bằng AMI bị xâm phạm của kẻ tấn công, cấp khả năng thực thi mã từ xa (RCE) và cho phép các hoạt động khai thác sau.
Điểm tương đồng với các cuộc tấn công nhầm lẫn phụ thuộc
Cuộc tấn công này có điểm tương đồng với khai thác dependency confusion, trong đó các phần mềm phụ thuộc không an toàn (như gói pip) thay thế các phần mềm hợp lệ. Tuy nhiên, trong cuộc tấn công whoAMI, tài nguyên bị xâm phạm là hình ảnh máy ảo thay vì phần mềm phụ thuộc.
Phản ứng và biện pháp bảo mật của Amazon
Sau khi tiết lộ cuộc tấn công này vào ngày 16 tháng 9 năm 2024, Amazon đã phản hồi nhanh chóng và giải quyết vấn đề trong vòng ba ngày. Apple cũng thừa nhận rằng những khách hàng lấy ID AMI thông qua API ec2:DescribeImages mà không chỉ định giá trị chủ sở hữu sẽ gặp rủi ro.
Để giảm thiểu mối đe dọa này, AWS đã giới thiệu một tính năng bảo mật mới có tên là Allowed AMIs vào tháng 12 năm 2024. Thiết lập toàn tài khoản này cho phép người dùng hạn chế việc khám phá và sử dụng AMI trong tài khoản AWS của họ, giúp giảm đáng kể bề mặt tấn công. Các chuyên gia bảo mật khuyến nghị khách hàng AWS đánh giá và triển khai biện pháp kiểm soát mới này để bảo vệ môi trường đám mây của họ khỏi các cuộc tấn công nhầm lẫn tên.