WhoAMI 攻击：针对 AWS 环境的名称混淆策略

云安全面临的威胁

网络安全研究人员发现了一种名为 whoAMI 攻击的名称混淆技术，该技术允许个人通过发布欺骗性的 Amazon Machine Images (AMI) 来操纵Amazon Web Services (AWS)环境。这种方法可能允许攻击者在特定条件下在 AWS 账户中执行代码，这引发了人们对云安全配置错误的担忧。

whoAMI 攻击如何运作

从本质上讲，whoAMI 攻击是一种供应链操纵，利用误导性资源取代合法资源。该攻击利用了从 AWS 社区 AMI 目录中检索 AMI（用于启动 AWS Elastic Compute Cloud (EC2) 实例的虚拟机映像）的方式。

当软件脚本或自动化工具按名称搜索 AMI 但未能指定所有者或所有者 ID 等关键参数时，此漏洞就会起作用。在这种情况下，AWS API 可能会返回多个具有匹配名称的 AMI，包括由未知实体上传的 AMI。如果搜索逻辑配置为从列表中选择最新的图像，攻击者可能会发布具有相同名称的欺骗性 AMI，从而增加选择该 AMI 而不是受信任 AMI 的可能性。

AMI 选择配置错误的后果

一旦攻击者的 AMI 部署在目标的 AWS 环境中，它就会提供远程代码执行 (RCE) 的机会。这意味着攻击背后的个人可以访问实例并执行进一步的恶意活动，例如：

• 部署未经授权的软件
• 提取敏感数据
• 修改系统设置
• 建立持久访问权限以实现长期控制

由于 AWS 环境广泛用于托管应用程序、数据库和企业基础设施，因此成功利用该漏洞可能会对依赖云服务的企业产生重大影响。

并行的供应链漏洞

whoAMI 攻击与软件开发中常见的依赖项混淆技术有相似之处。在依赖项混淆攻击中，攻击者会发布一个与内部软件依赖项同名的软件包，诱骗构建系统下载假冒软件包。同样，在 whoAMI 的情况下，攻击者会用相似的 AMI 替换受信任的 AMI，从而允许他们在云托管系统中引入未经授权的更改。

检测和响应工作

调查该问题的安全分析师发现，一小部分使用 AWS 的组织受到了这种攻击模式的影响。该问题于 2024 年 9 月中旬报告给 AWS，AWS 在几天内就解决了这个问题。AWS 表示，没有证据表明这种技术在授权安全研究工作之外被利用。

为了应对这一发现，AWS 推出了一项名为“允许的 AMI”的新安全功能。此设置允许用户定义哪些 AMI 可以在其帐户中使用，从而降低无意中选择未经验证的图像的风险。此外，当使用“most_recent = true”参数而未指定 AMI 所有者时，Terraform 等基础设施即代码工具已开始发出警告，并计划在未来版本中实施更严格的验证。

加强云安全实践

为了最大限度地减少此类策略的暴露，管理 AWS 环境的组织应检查其 AMI 检索流程，并确保所有搜索都指定所有者 ID 或已批准的 AMI 列表。结合以下安全最佳实践：

• 对 AMI 选择实施严格的访问控制
• 定期审核云配置
• 利用 AWS 安全功能（例如允许的 AMI）
• 应用监控解决方案检测异常部署

通过解决这些漏洞，企业可以降低成为 whoAMI 等名称混淆威胁的受害者的可能性，并增强其基于云的基础设施的整体安全性。