WhoAMI Attack: A Name Confusion Tactic Targeting AWS Environments
Table of Contents
Ett hot mot molnsäkerheten
Cybersäkerhetsforskare har avslöjat en namnförvirringsteknik kallad whoAMI-attacken, som gör det möjligt för individer att manipulera Amazon Web Services (AWS) -miljöer genom att publicera vilseledande Amazon Machine Images (AMI). Denna metod kan tillåta angripare att exekvera kod inom AWS-konton under specifika förhållanden, vilket ger upphov till oro för felkonfigurationer av molnsäkerhet.
Hur whoAMI-attacken fungerar
I sin kärna är whoAMI-attacken en form av manipulation av leveranskedjan där en vilseledande resurs används för att ersätta en legitim. Attacken drar fördel av hur AMI:er – virtuella maskinbilder som används för att starta AWS Elastic Compute Cloud (EC2)-instanser – hämtas från AWS Community AMI-katalogen.
Exploateringen fungerar när programvaruskript eller automatiseringsverktyg söker efter en AMI efter namn men misslyckas med att specificera kritiska parametrar som ägaren eller ägar-ID. I sådana fall kan AWS API returnera flera AMI:er med matchande namn, inklusive de som laddats upp av okända enheter. Om söklogiken är konfigurerad för att välja den senaste bilden från listan, kan en angripare publicera en vilseledande AMI med ett identiskt namn, vilket ökar sannolikheten att den kommer att väljas istället för en pålitlig.
Konsekvenserna av felkonfigurerat AMI-val
När en angripares AMI väl har utplacerats i ett måls AWS-miljö ger det en möjlighet till fjärrkörning av kod (RCE). Detta innebär att individen bakom attacken kan få tillgång till instansen och utföra ytterligare skadliga aktiviteter, såsom:
- Distribuera obehörig programvara
- Extrahera känsliga uppgifter
- Ändra systeminställningar
- Etablera beständig åtkomst för långsiktig kontroll
Eftersom AWS-miljöer används i stor utsträckning för att vara värd för applikationer, databaser och företagsinfrastruktur, kan ett framgångsrikt utnyttjande få betydande konsekvenser för företag som förlitar sig på molntjänster.
En parallell sårbarhet i försörjningskedjan
WhoAMI-attacken delar likheter med beroendeförvirringstekniker som ses inom mjukvaruutveckling. I en beroendeförvirringsattack publicerar en angripare ett paket med samma namn som ett internt mjukvaruberoende, vilket lurar byggsystem att ladda ner det förfalskade paketet. På liknande sätt, i fallet med whoAMI, ersätter angriparen en betrodd AMI med en lookalike, vilket gör att de kan införa obehöriga ändringar i molnbaserade system.
Detektions- och svarsinsatser
Säkerhetsanalytiker som undersökte problemet fann att en liten andel av organisationer som använder AWS påverkades av detta attackmönster. Problemet rapporterades till AWS i mitten av september 2024 och AWS åtgärdade det inom några dagar. AWS har uppgett att inga bevis tyder på att denna teknik har utnyttjats utanför auktoriserade säkerhetsforskningsinsatser.
Som svar på upptäckten har AWS introducerat en ny säkerhetsfunktion som heter Allowed AMIs. Den här inställningen tillåter användare att definiera vilka AMI:er som kan användas inom deras konton, vilket minskar risken för att oavsiktligt välja overifierade bilder. Dessutom har infrastruktur-som-kod-verktyg som Terraform börjat utfärda varningar när parametern "most_recent = true" används utan att ange en AMI-ägare, med planer på att genomdriva strängare validering i framtida versioner.
Förstärkning av molnsäkerhetspraxis
För att minimera exponeringen för sådan taktik bör organisationer som hanterar AWS-miljöer se över sina AMI-hämtningsprocesser och se till att alla sökningar anger ett ägar-ID eller en godkänd AMI-lista. Inkludera bästa praxis för säkerhet som:
- Implementering av strikta åtkomstkontroller för AMI-val
- Regelbundet granska molnkonfigurationer
- Använder AWS-säkerhetsfunktioner som tillåtna AMI
- Tillämpa övervakningslösningar för att upptäcka ovanliga distributioner
Genom att åtgärda dessa luckor kan företag minska sannolikheten för att falla offer för att nämna förvirringshot som whoAMI och förbättra den övergripande säkerheten för deras molnbaserade infrastruktur.
