WhoAMI Attack: A Name Confusion Tactic Targeting AWS Environments

Μια απειλή για την ασφάλεια του Cloud

Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια τεχνική σύγχυσης ονομάτων που ονομάζεται επίθεση whoAMI, η οποία επιτρέπει σε άτομα να χειρίζονται περιβάλλοντα Υπηρεσιών Ιστού της Amazon (AWS) δημοσιεύοντας παραπλανητικές εικόνες μηχανών Amazon (AMI). Αυτή η μέθοδος θα μπορούσε να επιτρέψει στους εισβολείς να εκτελέσουν κώδικα εντός των λογαριασμών AWS υπό συγκεκριμένες συνθήκες, εγείροντας ανησυχίες σχετικά με εσφαλμένες διαμορφώσεις ασφαλείας του cloud.

Πώς λειτουργεί το whoAMI Attack

Στον πυρήνα της, η επίθεση whoAMI είναι μια μορφή χειραγώγησης της εφοδιαστικής αλυσίδας όπου χρησιμοποιείται ένας παραπλανητικός πόρος για να αντικαταστήσει έναν νόμιμο. Η επίθεση εκμεταλλεύεται τον τρόπο με τον οποίο τα AMI—εικόνες εικονικής μηχανής που χρησιμοποιούνται για την εκκίνηση παρουσιών AWS Elastic Compute Cloud (EC2)— ανακτώνται από τον κατάλογο AMI της Κοινότητας AWS.

Το exploit λειτουργεί όταν τα σενάρια λογισμικού ή τα εργαλεία αυτοματισμού αναζητούν ένα AMI με το όνομα αλλά αποτυγχάνουν να καθορίσουν κρίσιμες παραμέτρους όπως το αναγνωριστικό κατόχου ή κατόχου. Σε τέτοιες περιπτώσεις, το API AWS μπορεί να επιστρέψει πολλαπλά AMI με αντίστοιχα ονόματα, συμπεριλαμβανομένων αυτών που έχουν μεταφορτωθεί από άγνωστες οντότητες. Εάν η λογική αναζήτησης έχει ρυθμιστεί ώστε να επιλέγει την πιο πρόσφατη εικόνα από τη λίστα, ένας εισβολέας θα μπορούσε να δημοσιεύσει ένα παραπλανητικό AMI με το ίδιο όνομα, αυξάνοντας την πιθανότητα να επιλεγεί αντί για ένα αξιόπιστο.

Οι συνέπειες της εσφαλμένης ρύθμισης της επιλογής AMI

Μόλις το AMI ενός εισβολέα αναπτυχθεί μέσα στο περιβάλλον AWS ενός στόχου, παρέχει μια ευκαιρία για απομακρυσμένη εκτέλεση κώδικα (RCE). Αυτό σημαίνει ότι το άτομο πίσω από την επίθεση θα μπορούσε να αποκτήσει πρόσβαση στο παράδειγμα και να πραγματοποιήσει περαιτέρω κακόβουλες δραστηριότητες, όπως:

• Ανάπτυξη μη εξουσιοδοτημένου λογισμικού
• Εξαγωγή ευαίσθητων δεδομένων
• Τροποποίηση ρυθμίσεων συστήματος
• Καθιέρωση μόνιμης πρόσβασης για μακροπρόθεσμο έλεγχο

Δεδομένου ότι τα περιβάλλοντα AWS χρησιμοποιούνται ευρέως για τη φιλοξενία εφαρμογών, βάσεων δεδομένων και εταιρικής υποδομής, μια επιτυχημένη εκμετάλλευση θα μπορούσε να έχει σημαντικές επιπτώσεις για τις επιχειρήσεις που βασίζονται σε υπηρεσίες cloud.

Μια παράλληλη ευπάθεια εφοδιαστικής αλυσίδας

Η επίθεση whoAMI μοιράζεται ομοιότητες με τις τεχνικές σύγχυσης εξαρτήσεων που παρατηρούνται στην ανάπτυξη λογισμικού. Σε μια επίθεση σύγχυσης εξαρτήσεων, ένας εισβολέας δημοσιεύει ένα πακέτο με το ίδιο όνομα με μια εσωτερική εξάρτηση λογισμικού, ξεγελώντας τα συστήματα κατασκευής για να κατεβάσουν το πλαστό πακέτο. Ομοίως, στην περίπτωση whoAMI, ο εισβολέας αντικαθιστά ένα αξιόπιστο AMI με ένα όμοιο, επιτρέποντάς του να εισάγει μη εξουσιοδοτημένες αλλαγές σε συστήματα που φιλοξενούνται στο cloud.

Προσπάθειες ανίχνευσης και απόκρισης

Οι αναλυτές ασφαλείας που διερεύνησαν το ζήτημα διαπίστωσαν ότι ένα μικρό ποσοστό οργανισμών που χρησιμοποιούν AWS επηρεάστηκαν από αυτό το μοτίβο επίθεσης. Το ζήτημα αναφέρθηκε στην AWS στα μέσα Σεπτεμβρίου 2024 και η AWS το αντιμετώπισε εντός ημερών. Η AWS δήλωσε ότι κανένα στοιχείο δεν υποδηλώνει ότι αυτή η τεχνική έχει αξιοποιηθεί εκτός εξουσιοδοτημένων ερευνητικών προσπαθειών ασφάλειας.

Σε απάντηση στην ανακάλυψη, η AWS εισήγαγε μια νέα δυνατότητα ασφαλείας που ονομάζεται Επιτρεπόμενα AMI. Αυτή η ρύθμιση επιτρέπει στους χρήστες να ορίσουν ποια AMI μπορούν να χρησιμοποιηθούν στους λογαριασμούς τους, μειώνοντας τον κίνδυνο ακούσιας επιλογής μη επαληθευμένων εικόνων. Επιπλέον, εργαλεία υποδομής ως κώδικας όπως το Terraform έχουν αρχίσει να εκδίδουν προειδοποιήσεις όταν χρησιμοποιείται η παράμετρος "most_recent = true" χωρίς να προσδιορίζεται κάτοχος AMI, με σχέδια για την επιβολή αυστηρότερης επικύρωσης σε μελλοντικές εκδόσεις.

Ενίσχυση των πρακτικών ασφάλειας στο cloud

Για να ελαχιστοποιηθεί η έκθεση σε τέτοιες τακτικές, οι οργανισμοί που διαχειρίζονται περιβάλλοντα AWS θα πρέπει να επανεξετάσουν τις διαδικασίες ανάκτησης AMI και να διασφαλίσουν ότι όλες οι αναζητήσεις καθορίζουν ένα αναγνωριστικό κατόχου ή μια εγκεκριμένη λίστα AMI. Ενσωμάτωση βέλτιστων πρακτικών ασφαλείας όπως:

• Εφαρμογή αυστηρών ελέγχων πρόσβασης στην επιλογή AMI
• Ελέγχετε τακτικά τις διαμορφώσεις του cloud
• Χρησιμοποιώντας χαρακτηριστικά ασφαλείας AWS, όπως Επιτρεπόμενα AMI
• Εφαρμογή λύσεων παρακολούθησης για τον εντοπισμό ασυνήθιστων αναπτύξεων

Αντιμετωπίζοντας αυτά τα κενά, οι επιχειρήσεις μπορούν να μειώσουν την πιθανότητα να πέσουν θύματα των απειλών σύγχυσης όπως το whoAMI και να ενισχύσουν τη συνολική ασφάλεια της υποδομής τους που βασίζεται στο cloud.