WhoAMI-aanval: een tactiek voor naamsverwarring gericht op AWS-omgevingen
Table of Contents
Een bedreiging voor de cloudbeveiliging
Cybersecurity-onderzoekers hebben een naamverwarringstechniek ontdekt die de whoAMI-aanval wordt genoemd, waarmee individuen Amazon Web Services (AWS) -omgevingen kunnen manipuleren door misleidende Amazon Machine Images (AMI's) te publiceren. Deze methode zou aanvallers in staat kunnen stellen om code uit te voeren binnen AWS-accounts onder specifieke omstandigheden, wat zorgen oproept over verkeerde configuraties van cloudbeveiliging.
Hoe de whoAMI-aanval werkt
In de kern is de whoAMI-aanval een vorm van supply chain-manipulatie waarbij een misleidende resource wordt gebruikt om een legitieme te vervangen. De aanval maakt gebruik van de manier waarop AMI's (virtuele machine-images die worden gebruikt voor het lanceren van AWS Elastic Compute Cloud (EC2)-instanties) worden opgehaald uit de AWS Community AMI-catalogus.
De exploit werkt wanneer softwarescripts of automatiseringstools zoeken naar een AMI op naam, maar geen kritieke parameters opgeven, zoals de eigenaar of eigenaar-ID. In dergelijke gevallen kan de AWS API meerdere AMI's met overeenkomende namen retourneren, inclusief die welke zijn geüpload door onbekende entiteiten. Als de zoeklogica is geconfigureerd om de meest recente afbeelding uit de lijst te selecteren, kan een aanvaller een misleidende AMI publiceren met een identieke naam, waardoor de kans groter wordt dat deze wordt gekozen in plaats van een vertrouwde.
De gevolgen van een verkeerd geconfigureerde AMI-selectie
Zodra de AMI van een aanvaller is geïmplementeerd in de AWS-omgeving van een doelwit, biedt het een mogelijkheid voor remote code execution (RCE). Dit betekent dat de persoon achter de aanval toegang kan krijgen tot de instance en verdere kwaadaardige activiteiten kan uitvoeren, zoals:
- Het implementeren van ongeautoriseerde software
- Gevoelige gegevens extraheren
- Systeeminstellingen wijzigen
- Het creëren van permanente toegang voor controle op de lange termijn
Omdat AWS-omgevingen veel worden gebruikt voor het hosten van applicaties, databases en bedrijfsinfrastructuur, kan een succesvolle exploitatie belangrijke gevolgen hebben voor bedrijven die afhankelijk zijn van clouddiensten.
Een parallelle kwetsbaarheid in de toeleveringsketen
De whoAMI-aanval vertoont overeenkomsten met dependency confusion-technieken die in softwareontwikkeling worden gezien. Bij een dependency confusion-aanval publiceert een aanvaller een pakket met dezelfde naam als een interne softwareafhankelijkheid, waardoor bouwsystemen worden misleid om het namaakpakket te downloaden. In het geval van whoAMI vervangt de aanvaller een vertrouwde AMI door een lookalike, waardoor ze ongeautoriseerde wijzigingen kunnen aanbrengen in cloud-gehoste systemen.
Detectie- en responsinspanningen
Beveiligingsanalisten die het probleem onderzochten, ontdekten dat een klein percentage van de organisaties die AWS gebruikten, getroffen werd door dit aanvalspatroon. Het probleem werd medio september 2024 gemeld bij AWS en AWS heeft het binnen enkele dagen aangepakt. AWS heeft verklaard dat er geen bewijs is dat deze techniek is misbruikt buiten geautoriseerde beveiligingsonderzoeksinspanningen.
Als reactie op de ontdekking heeft AWS een nieuwe beveiligingsfunctie geïntroduceerd genaamd Allowed AMIs. Met deze instelling kunnen gebruikers definiëren welke AMI's binnen hun accounts kunnen worden gebruikt, waardoor het risico wordt verkleind dat onbedoeld ongeverifieerde afbeeldingen worden geselecteerd. Bovendien zijn infrastructure-as-code-tools zoals Terraform waarschuwingen gaan geven wanneer de parameter "most_recent = true" wordt gebruikt zonder een AMI-eigenaar op te geven, met plannen om in toekomstige versies strengere validatie af te dwingen.
Versterking van cloudbeveiligingspraktijken
Om blootstelling aan dergelijke tactieken te minimaliseren, moeten organisaties die AWS-omgevingen beheren hun AMI-ophaalprocessen herzien en ervoor zorgen dat alle zoekopdrachten een eigenaar-ID of een goedgekeurde AMI-lijst specificeren. Beveiligingsbest practices opnemen zoals:
- Strikte toegangscontroles implementeren bij AMI-selectie
- Regelmatige controle van cloudconfiguraties
- Gebruikmaken van AWS-beveiligingsfuncties zoals toegestane AMI's
- Monitoringoplossingen toepassen om ongebruikelijke implementaties te detecteren
Door deze lacunes aan te pakken, kunnen bedrijven de kans verkleinen dat ze het slachtoffer worden van naamsverwarrende bedreigingen zoals whoAMI. Bovendien kunnen ze de algehele beveiliging van hun cloudgebaseerde infrastructuur verbeteren.
