WhoAMI Attack: A Name Confusion Tactic Targeting AWS Environments
Table of Contents
En trussel mod skysikkerhed
Cybersikkerhedsforskere har afsløret en navneforvekslingsteknik kaldet whoAMI-angrebet, som gør det muligt for enkeltpersoner at manipulere Amazon Web Services (AWS) miljøer ved at udgive vildledende Amazon Machine Images (AMI'er). Denne metode kan give angribere mulighed for at udføre kode inden for AWS-konti under specifikke forhold, hvilket giver anledning til bekymringer om fejlkonfigurationer af cloud-sikkerhed.
Hvordan whoAMI-angrebet fungerer
I sin kerne er whoAMI-angrebet en form for forsyningskædemanipulation, hvor en vildledende ressource bruges til at erstatte en legitim. Angrebet udnytter den måde, AMI'er – virtuelle maskinbilleder, der bruges til at starte AWS Elastic Compute Cloud (EC2)-instanser – hentes fra AWS Community AMI-kataloget.
Udnyttelsen fungerer, når softwarescripts eller automatiseringsværktøjer søger efter en AMI ved navn, men undlader at specificere kritiske parametre såsom ejer- eller ejer-id. I sådanne tilfælde kan AWS API returnere flere AMI'er med matchende navne, inklusive dem, der er uploadet af ukendte enheder. Hvis søgelogikken er konfigureret til at vælge det seneste billede fra listen, kan en angriber offentliggøre en vildledende AMI med et identisk navn, hvilket øger sandsynligheden for, at det bliver valgt i stedet for et pålideligt.
Konsekvenserne af forkert konfigureret AMI-valg
Når først en angribers AMI er implementeret i et måls AWS-miljø, giver det mulighed for fjernudførelse af kode (RCE). Det betyder, at personen bag angrebet kan få adgang til instansen og udføre yderligere ondsindede aktiviteter, såsom:
- Implementering af uautoriseret software
- Udtræk af følsomme data
- Ændring af systemindstillinger
- Etablering af vedvarende adgang til langsigtet kontrol
Da AWS-miljøer er meget udbredt til hosting af applikationer, databaser og virksomhedsinfrastruktur, kan en vellykket udnyttelse have betydelige konsekvenser for virksomheder, der er afhængige af cloud-tjenester.
En parallel forsyningskædesårbarhed
WhoAMI-angrebet deler ligheder med afhængighedsforvirringsteknikker, der ses i softwareudvikling. I et afhængighedsforvirringsangreb udgiver en angriber en pakke med samme navn som en intern softwareafhængighed, hvilket narre build-systemer til at downloade den forfalskede pakke. På samme måde, i tilfælde af whoAMI, erstatter angriberen en betroet AMI med en lookalike, hvilket giver dem mulighed for at indføre uautoriserede ændringer i cloud-hostede systemer.
Detektions- og reaktionsbestræbelser
Sikkerhedsanalytikere, der undersøgte problemet, fandt ud af, at en lille procentdel af organisationer, der bruger AWS, var påvirket af dette angrebsmønster. Problemet blev rapporteret til AWS i midten af september 2024, og AWS rettede det inden for få dage. AWS har udtalt, at ingen beviser tyder på, at denne teknik er blevet udnyttet uden for autoriseret sikkerhedsforskning.
Som svar på opdagelsen har AWS introduceret en ny sikkerhedsfunktion kaldet Tilladte AMI'er. Denne indstilling giver brugerne mulighed for at definere, hvilke AMI'er der kan bruges på deres konti, hvilket reducerer risikoen for utilsigtet valg af ubekræftede billeder. Derudover er infrastruktur-som-kode-værktøjer som Terraform begyndt at udstede advarsler, når parameteren "most_recent = true" bruges uden at angive en AMI-ejer, med planer om at gennemtvinge strengere validering i fremtidige versioner.
Styrkelse af cloud-sikkerhedspraksis
For at minimere eksponeringen for sådanne taktikker bør organisationer, der administrerer AWS-miljøer, gennemgå deres AMI-hentningsprocesser og sikre, at alle søgninger angiver et ejer-id eller en godkendt AMI-liste. Inkorporerer bedste praksis for sikkerhed som:
- Implementering af streng adgangskontrol på AMI-valg
- Regelmæssig revision af cloud-konfigurationer
- Brug af AWS-sikkerhedsfunktioner som Tilladte AMI'er
- Anvendelse af overvågningsløsninger til at opdage usædvanlige implementeringer
Ved at løse disse huller kan virksomheder reducere sandsynligheden for at blive ofre for at nævne forvirringstrusler som whoAMI og forbedre den overordnede sikkerhed i deres cloud-baserede infrastruktur.
