Атака whoAMI: тактика путаницы имен, нацеленная на среды AWS

Угроза безопасности облака

Исследователи кибербезопасности обнаружили технику путаницы имен, названную атакой whoAMI, которая позволяет лицам манипулировать средами Amazon Web Services (AWS) , публикуя обманчивые образы машин Amazon (AMI). Этот метод может позволить злоумышленникам выполнять код в учетных записях AWS при определенных условиях, что вызывает опасения по поводу неправильных конфигураций безопасности облака.

Как работает атака whoAMI

По своей сути атака whoAMI представляет собой форму манипуляции цепочкой поставок, при которой для замены легитимного ресурса используется вводящий в заблуждение ресурс. Атака использует способ, которым AMI — образы виртуальных машин, используемые для запуска экземпляров AWS Elastic Compute Cloud (EC2), — извлекаются из каталога AMI сообщества AWS.

Эксплойт работает, когда программные скрипты или средства автоматизации ищут AMI по имени, но не указывают критические параметры, такие как владелец или идентификатор владельца. В таких случаях API AWS может возвращать несколько AMI с совпадающими именами, включая загруженные неизвестными сущностями. Если логика поиска настроена на выбор самого последнего изображения из списка, злоумышленник может опубликовать обманчивый AMI с идентичным именем, увеличивая вероятность того, что он будет выбран вместо доверенного.

Последствия неправильного выбора AMI

После того, как AMI злоумышленника развернут в среде AWS цели, он предоставляет возможность для удаленного выполнения кода (RCE). Это означает, что лицо, стоящее за атакой, может получить доступ к экземпляру и выполнить дальнейшие вредоносные действия, такие как:

• Развертывание несанкционированного программного обеспечения
• Извлечение конфиденциальных данных
• Изменение настроек системы
• Установление постоянного доступа для долгосрочного контроля

Поскольку среды AWS широко используются для размещения приложений, баз данных и корпоративной инфраструктуры, успешная эксплуатация может иметь серьезные последствия для предприятий, использующих облачные сервисы.

Уязвимость параллельной цепочки поставок

Атака whoAMI имеет сходство с методами путаницы зависимостей, которые используются в разработке программного обеспечения. При атаке путаницы зависимостей злоумышленник публикует пакет с тем же именем, что и внутренняя зависимость программного обеспечения, обманывая системы сборки, заставляя их загрузить поддельный пакет. Аналогично, в случае whoAMI злоумышленник заменяет доверенный AMI на двойника, что позволяет ему вносить несанкционированные изменения в облачные системы.

Меры по обнаружению и реагированию

Аналитики безопасности, расследующие проблему, обнаружили, что небольшой процент организаций, использующих AWS, пострадал от этой модели атаки. О проблеме было сообщено AWS в середине сентября 2024 года, и AWS устранила ее в течение нескольких дней. AWS заявила, что нет никаких доказательств того, что эта техника использовалась за пределами авторизованных исследований безопасности.

В ответ на обнаружение AWS представила новую функцию безопасности под названием Allowed AMIs. Эта настройка позволяет пользователям определять, какие AMI могут использоваться в их аккаунтах, что снижает риск непреднамеренного выбора непроверенных изображений. Кроме того, инструменты инфраструктуры как кода, такие как Terraform, начали выдавать предупреждения, когда параметр "most_recent = true" используется без указания владельца AMI, и в будущих версиях планируется обеспечить более строгую проверку.

Усиление мер безопасности в облаке

Чтобы свести к минимуму воздействие таких тактик, организации, управляющие средами AWS, должны пересмотреть свои процессы поиска AMI и убедиться, что все поиски указывают идентификатор владельца или утвержденный список AMI. Внедрение лучших практик безопасности, таких как:

• Внедрение строгого контроля доступа при выборе AMI
• Регулярный аудит облачных конфигураций
• Использование функций безопасности AWS, таких как разрешенные AMI
• Применение решений для мониторинга для обнаружения необычных развертываний

Устранив эти пробелы, предприятия могут снизить вероятность стать жертвой угроз, связанных с путаницей имен, таких как whoAMI, и повысить общую безопасность своей облачной инфраструктуры.