Ataque whoAMI: Uma tática de confusão de nomes visando ambientes AWS
Table of Contents
Uma ameaça à segurança da nuvem
Pesquisadores de segurança cibernética descobriram uma técnica de confusão de nomes chamada de ataque whoAMI, que permite que indivíduos manipulem ambientes da Amazon Web Services (AWS) publicando Amazon Machine Images (AMIs) enganosas. Esse método pode permitir que invasores executem códigos dentro de contas da AWS sob condições específicas, levantando preocupações sobre configurações incorretas de segurança na nuvem.
Como o ataque whoAMI opera
Em sua essência, o ataque whoAMI é uma forma de manipulação da cadeia de suprimentos em que um recurso enganoso é usado para substituir um legítimo. O ataque tira vantagem da maneira como as AMIs — imagens de máquinas virtuais usadas para iniciar instâncias do AWS Elastic Compute Cloud (EC2) — são recuperadas do catálogo de AMIs da Comunidade AWS.
O exploit funciona quando scripts de software ou ferramentas de automação procuram uma AMI por nome, mas falham em especificar parâmetros críticos, como o proprietário ou ID do proprietário. Nesses casos, a API da AWS pode retornar várias AMIs com nomes correspondentes, incluindo aquelas carregadas por entidades desconhecidas. Se a lógica de pesquisa estiver configurada para selecionar a imagem mais recente da lista, um invasor pode publicar uma AMI enganosa com um nome idêntico, aumentando a probabilidade de que ela seja escolhida em vez de uma confiável.
As consequências da seleção de AMI mal configurada
Uma vez que a AMI de um invasor é implantada dentro do ambiente AWS de um alvo, ela fornece uma oportunidade para execução remota de código (RCE). Isso significa que o indivíduo por trás do ataque pode obter acesso à instância e realizar outras atividades maliciosas, como:
- Implantação de software não autorizado
- Extraindo dados sensíveis
- Modificando as configurações do sistema
- Estabelecendo acesso persistente para controle de longo prazo
Como os ambientes da AWS são amplamente usados para hospedar aplicativos, bancos de dados e infraestrutura corporativa, uma exploração bem-sucedida pode ter implicações significativas para empresas que dependem de serviços de nuvem.
Uma vulnerabilidade paralela na cadeia de suprimentos
O ataque whoAMI compartilha similaridades com técnicas de confusão de dependência vistas no desenvolvimento de software. Em um ataque de confusão de dependência, um invasor publica um pacote com o mesmo nome de uma dependência interna de software, enganando os sistemas de compilação para baixar o pacote falsificado. Da mesma forma, no caso do whoAMI, o invasor substitui uma AMI confiável por uma parecida, permitindo que ele introduza alterações não autorizadas em sistemas hospedados na nuvem.
Esforços de detecção e resposta
Analistas de segurança que investigam o problema descobriram que uma pequena porcentagem de organizações que usam a AWS foram impactadas por esse padrão de ataque. O problema foi relatado à AWS em meados de setembro de 2024, e a AWS o abordou em poucos dias. A AWS declarou que nenhuma evidência sugere que essa técnica tenha sido explorada fora dos esforços de pesquisa de segurança autorizados.
Em resposta à descoberta, a AWS introduziu um novo recurso de segurança chamado Allowed AMIs. Essa configuração permite que os usuários definam quais AMIs podem ser usadas em suas contas, reduzindo o risco de selecionar inadvertidamente imagens não verificadas. Além disso, ferramentas de infraestrutura como código como o Terraform começaram a emitir avisos quando o parâmetro "most_recent = true" é usado sem especificar um proprietário de AMI, com planos para impor uma validação mais rigorosa em versões futuras.
Fortalecendo as práticas de segurança na nuvem
Para minimizar a exposição a tais táticas, as organizações que gerenciam ambientes AWS devem revisar seus processos de recuperação de AMI e garantir que todas as pesquisas especifiquem um ID de proprietário ou uma lista de AMI aprovada. Incorporando as melhores práticas de segurança, como:
- Implementando controles de acesso rigorosos na seleção de AMI
- Auditar regularmente as configurações da nuvem
- Utilizando recursos de segurança da AWS, como AMIs permitidas
- Aplicação de soluções de monitoramento para detectar implantações incomuns
Ao abordar essas lacunas, as empresas podem reduzir a probabilidade de serem vítimas de ameaças de confusão de nomes, como whoAMI, e aumentar a segurança geral de sua infraestrutura baseada em nuvem.
