Atak whoAMI: taktyka mylenia nazw, której celem są środowiska AWS
Table of Contents
Zagrożenie dla bezpieczeństwa chmury
Badacze cyberbezpieczeństwa odkryli technikę pomyłki nazw, zwaną atakiem whoAMI, która umożliwia osobom manipulowanie środowiskami Amazon Web Services (AWS) poprzez publikowanie oszukańczych obrazów Amazon Machine Images (AMI). Ta metoda może umożliwić atakującym wykonywanie kodu na kontach AWS w określonych warunkach, co budzi obawy dotyczące błędnych konfiguracji zabezpieczeń chmury.
Jak działa atak whoAMI
W swojej istocie atak whoAMI jest formą manipulacji łańcuchem dostaw, w której mylący zasób jest używany do zastąpienia legalnego zasobu. Atak wykorzystuje sposób, w jaki obrazy AMI — obrazy maszyn wirtualnych używane do uruchamiania instancji AWS Elastic Compute Cloud (EC2) — są pobierane z katalogu AWS Community AMI.
Exploit działa, gdy skrypty oprogramowania lub narzędzia automatyzacji wyszukują AMI według nazwy, ale nie określają krytycznych parametrów, takich jak właściciel lub identyfikator właściciela. W takich przypadkach interfejs API AWS może zwrócić wiele obrazów AMI o pasujących nazwach, w tym te przesłane przez nieznane podmioty. Jeśli logika wyszukiwania jest skonfigurowana tak, aby wybrać najnowszy obraz z listy, atakujący może opublikować oszukańczy obraz AMI o identycznej nazwie, zwiększając prawdopodobieństwo, że zostanie on wybrany zamiast zaufanego.
Konsekwencje błędnej konfiguracji wyboru AMI
Gdy AMI atakującego zostanie wdrożone w środowisku AWS celu, daje możliwość zdalnego wykonania kodu (RCE). Oznacza to, że osoba stojąca za atakiem może uzyskać dostęp do instancji i przeprowadzić dalsze złośliwe działania, takie jak:
- Wdrażanie nieautoryzowanego oprogramowania
- Ekstrakcja poufnych danych
- Modyfikowanie ustawień systemowych
- Ustanowienie stałego dostępu w celu zapewnienia długoterminowej kontroli
Ponieważ środowiska AWS są powszechnie używane do hostowania aplikacji, baz danych i infrastruktury korporacyjnej, udane wykorzystanie tej luki mogłoby mieć poważne konsekwencje dla przedsiębiorstw korzystających z usług w chmurze.
Równoległe zagrożenie łańcucha dostaw
Atak whoAMI ma podobieństwa do technik pomieszania zależności stosowanych w rozwoju oprogramowania. W ataku pomieszania zależności atakujący publikuje pakiet o tej samej nazwie co wewnętrzna zależność oprogramowania, oszukując systemy kompilacji, aby pobrały fałszywy pakiet. Podobnie w przypadku whoAMI atakujący zastępuje zaufany obraz AMI podobnym, co pozwala mu wprowadzać nieautoryzowane zmiany w systemach hostowanych w chmurze.
Działania w zakresie wykrywania i reagowania
Analitycy ds. bezpieczeństwa badający ten problem odkryli, że niewielki odsetek organizacji korzystających z AWS został dotknięty tym schematem ataku. Problem został zgłoszony do AWS w połowie września 2024 r., a AWS rozwiązał go w ciągu kilku dni. AWS oświadczył, że nie ma dowodów sugerujących, że ta technika została wykorzystana poza autoryzowanymi działaniami badawczymi w zakresie bezpieczeństwa.
W odpowiedzi na to odkrycie AWS wprowadził nową funkcję zabezpieczeń o nazwie Allowed AMIs. To ustawienie pozwala użytkownikom zdefiniować, które AMI mogą być używane na ich kontach, zmniejszając ryzyko przypadkowego wybrania niezweryfikowanych obrazów. Ponadto narzędzia infrastruktury jako kodu, takie jak Terraform, zaczęły wydawać ostrzeżenia, gdy parametr „most_recent = true” jest używany bez określenia właściciela AMI, z planami wymuszenia bardziej rygorystycznej walidacji w przyszłych wersjach.
Wzmocnienie praktyk bezpieczeństwa w chmurze
Aby zminimalizować narażenie na takie taktyki, organizacje zarządzające środowiskami AWS powinny przejrzeć swoje procesy pobierania AMI i upewnić się, że wszystkie wyszukiwania określają identyfikator właściciela lub zatwierdzoną listę AMI. Włączenie najlepszych praktyk bezpieczeństwa, takich jak:
- Wdrożenie ścisłych kontroli dostępu w wyborze AMI
- Regularne audytowanie konfiguracji chmury
- Wykorzystanie funkcji zabezpieczeń AWS, takich jak dozwolone obrazy AMI
- Stosowanie rozwiązań monitorujących w celu wykrywania nietypowych wdrożeń
Eliminując te luki, firmy mogą zmniejszyć prawdopodobieństwo padnięcia ofiarą zagrożeń związanych z pomyłką nazw, takich jak whoAMI, i zwiększyć ogólne bezpieczeństwo swojej infrastruktury opartej na chmurze.
