Ataque whoAMI: una táctica de confusión de nombres dirigida a entornos de AWS

amazon gift card scam

Una amenaza para la seguridad de la nube

Los investigadores de ciberseguridad han descubierto una técnica de confusión de nombres denominada ataque whoAMI, que permite a las personas manipular los entornos de Amazon Web Services (AWS) mediante la publicación de imágenes de Amazon Machine Images (AMI) engañosas. Este método podría permitir a los atacantes ejecutar código dentro de las cuentas de AWS en condiciones específicas, lo que genera inquietud sobre configuraciones incorrectas de seguridad en la nube.

Cómo funciona el ataque whoAMI

En esencia, el ataque whoAMI es una forma de manipulación de la cadena de suministro en la que se utiliza un recurso engañoso para reemplazar a uno legítimo. El ataque aprovecha la forma en que las AMI (imágenes de máquinas virtuales utilizadas para iniciar instancias de AWS Elastic Compute Cloud (EC2)) se recuperan del catálogo de AMI de la comunidad de AWS.

El exploit funciona cuando los scripts de software o las herramientas de automatización buscan una AMI por nombre pero no especifican parámetros críticos como el propietario o el ID del propietario. En tales casos, la API de AWS puede devolver varias AMI con nombres coincidentes, incluidas aquellas cargadas por entidades desconocidas. Si la lógica de búsqueda está configurada para seleccionar la imagen más reciente de la lista, un atacante podría publicar una AMI engañosa con un nombre idéntico, lo que aumenta la probabilidad de que se elija en lugar de una confiable.

Las consecuencias de una selección de AMI mal configurada

Una vez que la AMI de un atacante se implementa dentro del entorno de AWS de un objetivo, brinda una oportunidad para la ejecución remota de código (RCE). Esto significa que la persona detrás del ataque podría obtener acceso a la instancia y llevar a cabo otras actividades maliciosas, como:

  • Implementación de software no autorizado
  • Extracción de datos confidenciales
  • Modificar la configuración del sistema
  • Establecer acceso persistente para control a largo plazo

Dado que los entornos de AWS se utilizan ampliamente para alojar aplicaciones, bases de datos e infraestructura corporativa, una explotación exitosa podría tener implicaciones significativas para las empresas que dependen de los servicios en la nube.

Una vulnerabilidad paralela en la cadena de suministro

El ataque whoAMI comparte similitudes con las técnicas de confusión de dependencias que se observan en el desarrollo de software. En un ataque de confusión de dependencias, un atacante publica un paquete con el mismo nombre que una dependencia de software interna, engañando a los sistemas de compilación para que descarguen el paquete falsificado. De manera similar, en el caso de whoAMI, el atacante reemplaza una AMI confiable por una similar, lo que le permite introducir cambios no autorizados dentro de los sistemas alojados en la nube.

Esfuerzos de detección y respuesta

Los analistas de seguridad que investigaron el problema descubrieron que un pequeño porcentaje de las organizaciones que utilizan AWS se vieron afectadas por este patrón de ataque. El problema se informó a AWS a mediados de septiembre de 2024 y AWS lo solucionó en cuestión de días. AWS ha declarado que no hay evidencia que sugiera que esta técnica haya sido explotada fuera de los esfuerzos de investigación de seguridad autorizados.

En respuesta al descubrimiento, AWS ha introducido una nueva función de seguridad denominada AMI permitidas. Esta configuración permite a los usuarios definir qué AMI se pueden utilizar en sus cuentas, lo que reduce el riesgo de seleccionar inadvertidamente imágenes no verificadas. Además, las herramientas de infraestructura como código como Terraform han comenzado a emitir advertencias cuando se utiliza el parámetro "most_recent = true" sin especificar un propietario de AMI, y tienen planes de aplicar una validación más estricta en futuras versiones.

Fortalecimiento de las prácticas de seguridad en la nube

Para minimizar la exposición a estas tácticas, las organizaciones que administran entornos de AWS deben revisar sus procesos de recuperación de AMI y asegurarse de que todas las búsquedas especifiquen un ID de propietario o una lista de AMI aprobada. Incorporar las mejores prácticas de seguridad, como:

  • Implementación de controles de acceso estrictos en la selección de AMI
  • Auditar periódicamente las configuraciones de la nube
  • Utilizar las funciones de seguridad de AWS como las AMI permitidas
  • Aplicación de soluciones de monitorización para detectar implementaciones inusuales

Al abordar estas brechas, las empresas pueden reducir la probabilidad de ser víctimas de amenazas de confusión de nombres como whoAMI y mejorar la seguridad general de su infraestructura basada en la nube.

En Willa
February 17, 2025
Malware
Spanish
February 17, 2025
Malware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.