WhoAMI Attack: A Name Confusion Tactic Targeting AWS Environments
Table of Contents
En trussel mot skysikkerhet
Cybersikkerhetsforskere har avdekket en navneforvirringsteknikk kalt whoAMI-angrepet, som gjør det mulig for enkeltpersoner å manipulere Amazon Web Services (AWS) miljøer ved å publisere villedende Amazon Machine Images (AMI). Denne metoden kan tillate angripere å kjøre kode i AWS-kontoer under spesifikke forhold, noe som vekker bekymring for feilkonfigurasjoner av skysikkerhet.
Hvordan whoAMI-angrepet fungerer
I kjernen er whoAMI-angrepet en form for forsyningskjedemanipulasjon der en villedende ressurs brukes til å erstatte en legitim ressurs. Angrepet utnytter måten AMI-er – virtuelle maskinbilder som brukes til å lansere AWS Elastic Compute Cloud (EC2)-forekomster – hentes fra AWS Community AMI-katalogen.
Utnyttelsen fungerer når programvareskript eller automatiseringsverktøy søker etter en AMI ved navn, men ikke klarer å spesifisere kritiske parametere som eier- eller eier-ID. I slike tilfeller kan AWS API returnere flere AMI-er med samsvarende navn, inkludert de som er lastet opp av ukjente enheter. Hvis søkelogikken er konfigurert til å velge det nyeste bildet fra listen, kan en angriper publisere en villedende AMI med et identisk navn, noe som øker sannsynligheten for at det blir valgt i stedet for et klarert.
Konsekvensene av feilkonfigurert AMI-valg
Når en angripers AMI er distribuert i et måls AWS-miljø, gir det en mulighet for ekstern kjøring av kode (RCE). Dette betyr at personen bak angrepet kan få tilgang til forekomsten og utføre ytterligere ondsinnede aktiviteter, for eksempel:
- Utplassering av uautorisert programvare
- Trekker ut sensitive data
- Endring av systeminnstillinger
- Etablere vedvarende tilgang for langsiktig kontroll
Siden AWS-miljøer er mye brukt for hosting av applikasjoner, databaser og bedriftsinfrastruktur, kan en vellykket utnyttelse ha betydelige implikasjoner for virksomheter som er avhengige av skytjenester.
En parallell forsyningskjede-sårbarhet
WhoAMI-angrepet deler likheter med avhengighetsforvirringsteknikker sett i programvareutvikling. I et avhengighetsforvirringsangrep publiserer en angriper en pakke med samme navn som en intern programvareavhengighet, og lurer byggesystemer til å laste ned den forfalskede pakken. På samme måte, når det gjelder whoAMI, erstatter angriperen en pålitelig AMI med en lookalike, slik at de kan innføre uautoriserte endringer i skybaserte systemer.
Deteksjons- og responsinnsats
Sikkerhetsanalytikere som undersøkte problemet, fant at en liten prosentandel av organisasjoner som bruker AWS ble påvirket av dette angrepsmønsteret. Problemet ble rapportert til AWS i midten av september 2024, og AWS løste det i løpet av dager. AWS har uttalt at ingen bevis tyder på at denne teknikken har blitt utnyttet utenfor autorisert sikkerhetsforskning.
Som svar på oppdagelsen har AWS introdusert en ny sikkerhetsfunksjon kalt Allowed AMIs. Denne innstillingen lar brukere definere hvilke AMI-er som kan brukes i kontoene deres, noe som reduserer risikoen for utilsiktet valg av ubekreftede bilder. I tillegg har infrastruktur-som-kode-verktøy som Terraform begynt å utstede advarsler når "most_recent = true"-parameteren brukes uten å spesifisere en AMI-eier, med planer om å håndheve strengere validering i fremtidige versjoner.
Styrking av skysikkerhetspraksis
For å minimere eksponeringen for slike taktikker, bør organisasjoner som administrerer AWS-miljøer gjennomgå sine AMI-innhentingsprosesser og sikre at alle søk spesifiserer en eier-ID eller en godkjent AMI-liste. Innlemmer beste praksis for sikkerhet som:
- Implementering av strenge tilgangskontroller på AMI-valg
- Regelmessig revisjon av skykonfigurasjoner
- Bruk av AWS-sikkerhetsfunksjoner som tillatte AMI-er
- Bruk av overvåkingsløsninger for å oppdage uvanlige distribusjoner
Ved å adressere disse hullene kan bedrifter redusere sannsynligheten for å bli ofre for å navngi forvirringstrusler som whoAMI og forbedre den generelle sikkerheten til deres skybaserte infrastruktur.
