WhoAMI-Angriff: Eine Namensverwirrungstaktik, die auf AWS-Umgebungen abzielt

Eine Bedrohung für die Cloud-Sicherheit

Cybersicherheitsforscher haben eine Technik entdeckt, die Namensverwirrung verursacht und als whoAMI-Angriff bezeichnet wird. Mit dieser Methode können Einzelpersonen Amazon Web Services (AWS) -Umgebungen manipulieren, indem sie irreführende Amazon Machine Images (AMIs) veröffentlichen. Diese Methode könnte es Angreifern ermöglichen, unter bestimmten Bedingungen Code in AWS-Konten auszuführen, was Bedenken hinsichtlich Fehlkonfigurationen der Cloud-Sicherheit aufkommen lässt.

So funktioniert der whoAMI-Angriff

Im Kern handelt es sich beim whoAMI-Angriff um eine Form der Manipulation der Lieferkette, bei der eine legitime Ressource durch eine irreführende ersetzt wird. Der Angriff nutzt die Art und Weise aus, wie AMIs – virtuelle Maschinenabbilder, die zum Starten von AWS Elastic Compute Cloud (EC2)-Instanzen verwendet werden – aus dem AWS Community AMI-Katalog abgerufen werden.

Der Exploit funktioniert, wenn Softwareskripte oder Automatisierungstools nach einem AMI anhand des Namens suchen, aber wichtige Parameter wie den Besitzer oder die Besitzer-ID nicht angeben. In solchen Fällen kann die AWS-API mehrere AMIs mit übereinstimmenden Namen zurückgeben, darunter auch solche, die von unbekannten Entitäten hochgeladen wurden. Wenn die Suchlogik so konfiguriert ist, dass das aktuellste Bild aus der Liste ausgewählt wird, könnte ein Angreifer ein irreführendes AMI mit identischem Namen veröffentlichen und so die Wahrscheinlichkeit erhöhen, dass dieses anstelle eines vertrauenswürdigen ausgewählt wird.

Die Folgen einer falsch konfigurierten AMI-Auswahl

Sobald das AMI eines Angreifers in der AWS-Umgebung eines Ziels eingesetzt wird, bietet es die Möglichkeit zur Remotecodeausführung (RCE). Dies bedeutet, dass die Person hinter dem Angriff Zugriff auf die Instanz erhalten und weitere bösartige Aktivitäten ausführen könnte, wie zum Beispiel:

• Bereitstellung nicht autorisierter Software
• Extrahieren vertraulicher Daten
• Systemeinstellungen ändern
• Dauerhaften Zugriff für langfristige Kontrolle einrichten

Da AWS-Umgebungen häufig zum Hosten von Anwendungen, Datenbanken und Unternehmensinfrastruktur verwendet werden, könnte eine erfolgreiche Ausnutzung erhebliche Auswirkungen auf Unternehmen haben, die auf Cloud-Dienste angewiesen sind.

Eine parallele Schwachstelle in der Lieferkette

Der whoAMI-Angriff weist Ähnlichkeiten mit Dependency-Confusion-Techniken auf, die in der Softwareentwicklung verwendet werden. Bei einem Dependency-Confusion-Angriff veröffentlicht ein Angreifer ein Paket mit demselben Namen wie eine interne Softwareabhängigkeit und bringt so Build-Systeme dazu, das gefälschte Paket herunterzuladen. Ähnlich verhält es sich bei whoAMI: Der Angreifer ersetzt ein vertrauenswürdiges AMI durch ein ähnliches und kann so nicht autorisierte Änderungen in Cloud-gehosteten Systemen vornehmen.

Erkennungs- und Reaktionsbemühungen

Sicherheitsanalysten, die das Problem untersuchten, stellten fest, dass ein kleiner Prozentsatz der Organisationen, die AWS verwenden, von diesem Angriffsmuster betroffen war. Das Problem wurde AWS Mitte September 2024 gemeldet und AWS hat es innerhalb weniger Tage behoben. AWS hat erklärt, dass es keine Beweise dafür gibt, dass diese Technik außerhalb autorisierter Sicherheitsforschungsbemühungen ausgenutzt wurde.

Als Reaktion auf diese Entdeckung hat AWS eine neue Sicherheitsfunktion namens „Allowed AMIs“ eingeführt. Mit dieser Einstellung können Benutzer festlegen, welche AMIs in ihren Konten verwendet werden können. Dadurch wird das Risiko verringert, versehentlich nicht verifizierte Bilder auszuwählen. Darüber hinaus haben Infrastructure-as-Code-Tools wie Terraform begonnen, Warnungen auszugeben, wenn der Parameter „most_recent = true“ ohne Angabe eines AMI-Eigentümers verwendet wird. In zukünftigen Versionen sollen strengere Überprüfungen erzwungen werden.

Stärkung der Cloud-Sicherheitspraktiken

Um das Risiko solcher Taktiken zu minimieren, sollten Organisationen, die AWS-Umgebungen verwalten, ihre AMI-Abrufprozesse überprüfen und sicherstellen, dass bei allen Suchvorgängen eine Eigentümer-ID oder eine genehmigte AMI-Liste angegeben wird. Integrieren Sie bewährte Sicherheitsmethoden wie:

• Implementierung strenger Zugriffskontrollen bei der AMI-Auswahl
• Regelmäßige Überprüfung der Cloud-Konfigurationen
• Nutzung von AWS-Sicherheitsfunktionen wie zulässigen AMIs
• Einsatz von Monitoring-Lösungen zur Erkennung ungewöhnlicher Bereitstellungen

Durch die Behebung dieser Lücken können Unternehmen die Wahrscheinlichkeit verringern, Opfer von Namensverwechslungsbedrohungen wie whoAMI zu werden und die allgemeine Sicherheit ihrer Cloud-basierten Infrastruktur verbessern.