Attacco whoAMI: una tattica di confusione dei nomi che prende di mira gli ambienti AWS
Table of Contents
Una minaccia alla sicurezza del cloud
I ricercatori di sicurezza informatica hanno scoperto una tecnica di confusione dei nomi denominata attacco whoAMI, che consente agli individui di manipolare gli ambienti di Amazon Web Services (AWS) pubblicando immagini ingannevoli di Amazon Machine (AMI). Questo metodo potrebbe consentire agli aggressori di eseguire codice all'interno di account AWS in condizioni specifiche, sollevando preoccupazioni circa le configurazioni errate della sicurezza del cloud.
Come funziona l'attacco whoAMI
In sostanza, l'attacco whoAMI è una forma di manipolazione della supply chain in cui una risorsa fuorviante viene utilizzata per sostituirne una legittima. L'attacco sfrutta il modo in cui le AMI, ovvero le immagini di macchine virtuali utilizzate per avviare istanze di AWS Elastic Compute Cloud (EC2), vengono recuperate dal catalogo AMI della community AWS.
L'exploit funziona quando gli script software o gli strumenti di automazione cercano un'AMI per nome ma non riescono a specificare parametri critici come il proprietario o l'ID proprietario. In tali casi, l'API AWS può restituire più AMI con nomi corrispondenti, inclusi quelli caricati da entità sconosciute. Se la logica di ricerca è configurata per selezionare l'immagine più recente dall'elenco, un aggressore potrebbe pubblicare un'AMI ingannevole con un nome identico, aumentando la probabilità che venga scelta al posto di una attendibile.
Le conseguenze della selezione AMI non configurata correttamente
Una volta che l'AMI di un aggressore viene distribuita nell'ambiente AWS di un bersaglio, fornisce un'opportunità per l'esecuzione di codice remoto (RCE). Ciò significa che l'individuo dietro l'attacco potrebbe ottenere l'accesso all'istanza e svolgere ulteriori attività dannose, come:
- Distribuzione di software non autorizzato
- Estrazione di dati sensibili
- Modifica delle impostazioni di sistema
- Stabilire un accesso persistente per il controllo a lungo termine
Poiché gli ambienti AWS sono ampiamente utilizzati per ospitare applicazioni, database e infrastrutture aziendali, un loro sfruttamento efficace potrebbe avere implicazioni significative per le aziende che si affidano ai servizi cloud.
Una vulnerabilità parallela della supply chain
L'attacco whoAMI condivide somiglianze con le tecniche di confusione delle dipendenze osservate nello sviluppo software. In un attacco di confusione delle dipendenze, un aggressore pubblica un pacchetto con lo stesso nome di una dipendenza software interna, ingannando i sistemi di compilazione e facendogli scaricare il pacchetto contraffatto. Analogamente, nel caso di whoAMI, l'aggressore sostituisce un'AMI attendibile con una sosia, consentendogli di introdurre modifiche non autorizzate all'interno dei sistemi ospitati nel cloud.
Sforzi di rilevamento e risposta
Gli analisti della sicurezza che hanno indagato sul problema hanno scoperto che una piccola percentuale di organizzazioni che utilizzano AWS è stata interessata da questo schema di attacco. Il problema è stato segnalato ad AWS a metà settembre 2024 e AWS lo ha risolto nel giro di pochi giorni. AWS ha dichiarato che non ci sono prove che suggeriscano che questa tecnica sia stata sfruttata al di fuori di attività di ricerca sulla sicurezza autorizzate.
In risposta alla scoperta, AWS ha introdotto una nuova funzionalità di sicurezza denominata Allowed AMIs. Questa impostazione consente agli utenti di definire quali AMI possono essere utilizzate nei loro account, riducendo il rischio di selezionare inavvertitamente immagini non verificate. Inoltre, strumenti infrastructure-as-code come Terraform hanno iniziato a emettere avvisi quando il parametro "most_recent = true" viene utilizzato senza specificare un proprietario AMI, con piani per imporre una convalida più rigorosa nelle versioni future.
Rafforzamento delle pratiche di sicurezza del cloud
Per ridurre al minimo l'esposizione a tali tattiche, le organizzazioni che gestiscono ambienti AWS dovrebbero rivedere i loro processi di recupero AMI e assicurarsi che tutte le ricerche specifichino un ID proprietario o un elenco AMI approvato. Incorporando le best practice di sicurezza come:
- Implementazione di rigorosi controlli di accesso sulla selezione AMI
- Controllo regolare delle configurazioni cloud
- Utilizzo delle funzionalità di sicurezza AWS come le AMI consentite
- Applicazione di soluzioni di monitoraggio per rilevare distribuzioni insolite
Colmando queste lacune, le aziende possono ridurre la probabilità di cadere vittime di minacce di confusione di nome come whoAMI e migliorare la sicurezza complessiva della loro infrastruttura basata su cloud.
