Attaque whoAMI : une tactique de confusion de nom ciblant les environnements AWS

amazon gift card scam

Une menace pour la sécurité du cloud

Des chercheurs en cybersécurité ont découvert une technique de confusion de noms baptisée attaque whoAMI, qui permet aux individus de manipuler les environnements Amazon Web Services (AWS) en publiant des Amazon Machine Images (AMI) trompeuses. Cette méthode pourrait permettre aux attaquants d'exécuter du code dans les comptes AWS dans des conditions spécifiques, ce qui soulève des inquiétudes quant aux erreurs de configuration de la sécurité du cloud.

Comment fonctionne l'attaque whoAMI

À la base, l'attaque whoAMI est une forme de manipulation de la chaîne d'approvisionnement dans laquelle une ressource trompeuse est utilisée pour remplacer une ressource légitime. L'attaque exploite la manière dont les AMI (images de machines virtuelles utilisées pour lancer des instances AWS Elastic Compute Cloud (EC2)) sont récupérées à partir du catalogue AMI de la communauté AWS.

L'exploit fonctionne lorsque des scripts logiciels ou des outils d'automatisation recherchent une AMI par nom, mais ne parviennent pas à spécifier des paramètres critiques tels que le propriétaire ou l'ID du propriétaire. Dans de tels cas, l'API AWS peut renvoyer plusieurs AMI avec des noms correspondants, y compris ceux téléchargés par des entités inconnues. Si la logique de recherche est configurée pour sélectionner l'image la plus récente de la liste, un attaquant pourrait publier une AMI trompeuse avec un nom identique, augmentant ainsi la probabilité qu'elle soit choisie à la place d'une image de confiance.

Les conséquences d'une sélection d'AMI mal configurée

Une fois que l'AMI d'un attaquant est déployée dans l'environnement AWS d'une cible, elle offre la possibilité d'exécuter du code à distance (RCE). Cela signifie que l'individu à l'origine de l'attaque pourrait accéder à l'instance et effectuer d'autres activités malveillantes, telles que :

  • Déploiement de logiciels non autorisés
  • Extraction de données sensibles
  • Modification des paramètres du système
  • Établir un accès permanent pour un contrôle à long terme

Étant donné que les environnements AWS sont largement utilisés pour héberger des applications, des bases de données et des infrastructures d’entreprise, une exploitation réussie pourrait avoir des implications importantes pour les entreprises qui s’appuient sur des services cloud.

Une vulnérabilité parallèle de la chaîne d'approvisionnement

L'attaque whoAMI présente des similitudes avec les techniques de confusion des dépendances utilisées dans le développement de logiciels. Dans une attaque par confusion des dépendances, un attaquant publie un package portant le même nom qu'une dépendance logicielle interne, incitant les systèmes de build à télécharger le package contrefait. De même, dans le cas de whoAMI, l'attaquant remplace une AMI de confiance par une AMI similaire, ce qui lui permet d'introduire des modifications non autorisées dans les systèmes hébergés dans le cloud.

Efforts de détection et de réponse

Les analystes de sécurité qui ont enquêté sur le problème ont découvert qu'un petit pourcentage d'organisations utilisant AWS étaient touchées par ce modèle d'attaque. Le problème a été signalé à AWS à la mi-septembre 2024, et AWS l'a résolu en quelques jours. AWS a déclaré qu'aucune preuve ne suggère que cette technique ait été exploitée en dehors des efforts de recherche de sécurité autorisés.

En réponse à cette découverte, AWS a introduit une nouvelle fonctionnalité de sécurité appelée AMI autorisées. Ce paramètre permet aux utilisateurs de définir les AMI pouvant être utilisées dans leurs comptes, réduisant ainsi le risque de sélectionner par inadvertance des images non vérifiées. De plus, les outils d'infrastructure en tant que code comme Terraform ont commencé à émettre des avertissements lorsque le paramètre « most_recent = true » est utilisé sans spécifier de propriétaire d'AMI, avec des plans pour appliquer une validation plus stricte dans les versions futures.

Renforcer les pratiques de sécurité du cloud

Pour minimiser l'exposition à de telles tactiques, les organisations qui gèrent des environnements AWS doivent revoir leurs processus de récupération d'AMI et s'assurer que toutes les recherches spécifient un identifiant de propriétaire ou une liste d'AMI approuvée. Intégrer les meilleures pratiques de sécurité telles que :

  • Mise en œuvre de contrôles d'accès stricts sur la sélection AMI
  • Audit régulier des configurations cloud
  • Utilisation des fonctionnalités de sécurité AWS telles que les AMI autorisées
  • Application de solutions de surveillance pour détecter les déploiements inhabituels

En comblant ces lacunes, les entreprises peuvent réduire le risque d’être victimes de menaces de confusion de noms telles que whoAMI et améliorer la sécurité globale de leur infrastructure basée sur le cloud.

Par Willa
February 17, 2025
Malware
Français
February 17, 2025
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.