WhoAMI 攻擊

網路安全研究人員發現了一種名為「whoAMI」的新型名稱混淆攻擊。 「此次攻擊使威脅行為者能夠透過發布具有特定名稱的 Amazon 系統映像 (AMI) 在 Amazon Web 服務 (AWS) 帳戶內執行程式碼。此漏洞影響重大，因為它可能允許未經授權存取數千個 AWS 帳戶。

利用錯誤配置的 AMI 搜索

這次攻擊的核心在於供應鏈操縱策略。它涉及部署威脅性 AMI 並欺騙配置錯誤的軟體使用它而不是合法版本。該漏洞在私有和開源程式碼儲存庫中均存在，因此引起了廣泛關注。

攻擊如何進行

AWS 允許任何人發布 AMI，即用於啟動彈性運算雲端 (EC2) 執行個體的虛擬機器映像。此次攻擊利用了這樣一個事實：開發人員在使用 ec2:DescribeImages API 搜尋 AMI 時可能會忘記指定 --owners 屬性。

這次攻擊要成功，必須滿足以下條件：

• AMI 搜尋依賴名稱過濾器。
• 搜尋未指定所有者、所有者別名或所有者 ID 參數。
• 該請求獲取最近創建的圖像（most_recent=true）。

當這些條件滿足時，攻擊者可以建立一個名稱與目標搜尋模式相符的詐欺性 AMI。結果，使用攻擊者的受損 AMI 啟動了 EC2 實例，授予遠端程式碼執行 (RCE) 功能並啟用後利用活動。

與依賴混淆攻擊的相似之處

這種攻擊與依賴混淆漏洞類似，其中不安全的軟體依賴項（例如 pip 套件）替換合法的依賴項。然而，在 whoAMI 攻擊中，被破壞的資源是虛擬機器映像，而不是軟體依賴項。

亞馬遜的回應和安全措施

在 2024 年 9 月 16 日攻擊被披露後，亞馬遜迅速做出反應，並在三天內解決了這個問題。蘋果也承認，透過 ec2：DescribeImages API 檢索 AMI ID 而未指定所有者值的客戶有風險。

為了減輕這種威脅，AWS 於 2024 年 12 月推出了一項名為「允許的 AMI」的新安全功能。安全專家建議 AWS 客戶評估並實施這項新控制措施，以保護他們的雲端環境免受名稱混淆攻擊。