WhoAMI 攻擊：針對 AWS 環境的名稱混淆策略

雲端安全面臨的威脅

網路安全研究人員發現了一種被稱為 whoAMI 攻擊的名稱混淆技術，該技術允許個人透過發布欺騙性的 Amazon Machine Image (AMI) 來操縱Amazon Web Services (AWS)環境。這種方法可能允許攻擊者在特定條件下在 AWS 帳戶內執行程式碼，從而引發人們對雲端安全配置錯誤的擔憂。

whoAMI 攻擊如何運作

從本質上講，whoAMI 攻擊是一種供應鏈操縱形式，利用誤導性資源來取代合法資源。此次攻擊利用了從 AWS 社群 AMI 目錄中擷取 AMI（用於啟動 AWS 彈性運算雲 (EC2) 執行個體的虛擬機器映像）的方式。

當軟體腳本或自動化工具按名稱搜尋 AMI 但未能指定關鍵參數（例如所有者或所有者 ID）時，此漏洞就會起作用。在這種情況下，AWS API 可能會傳回多個具有符合名稱的 AMI，包括由未知實體上傳的 AMI。如果搜尋邏輯配置為從清單中選擇最新的圖像，攻擊者可能會發布具有相同名稱的欺騙性 AMI，從而增加選擇該 AMI 而不是受信任 AMI 的可能性。

AMI 選擇配置錯誤的後果

一旦攻擊者的 AMI 部署在目標的 AWS 環境中，就會提供遠端程式碼執行 (RCE) 的機會。這意味著攻擊背後的個人可以存取該實例並進行進一步的惡意活動，例如：

• 部署未經授權的軟體
• 提取敏感數據
• 修改系統設定
• 建立持久存取權限以實現長期控制

由於 AWS 環境廣泛用於託管應用程式、資料庫和企業基礎設施，因此成功利用該漏洞可能會對依賴雲端服務的企業產生重大影響。

平行的供應鏈漏洞

whoAMI 攻擊與軟體開發中常見的依賴混淆技術有相似之處。在依賴混淆攻擊中，攻擊者發布與內部軟體相依性同名的套件，誘騙建置系統下載假冒包。類似地，在 whoAMI 案例中，攻擊者用相似的 AMI 替換受信任的 AMI，從而允許他們在雲端託管系統內引入未經授權的變更。

檢測和響應工作

調查該問題的安全分析師發現，一小部分使用 AWS 的組織受到了這種攻擊模式的影響。該問題於 2024 年 9 月中旬報告給 AWS，AWS 在幾天內就解決了問題。 AWS 表示，沒有證據表明該技術在授權的安全研究工作之外被利用。

為了因應這項發現，AWS 推出了一項名為「Allowed AMIs」的新安全功能。此設定可讓使用者定義可在其帳戶中使用哪些 AMI，從而降低無意中選擇未經驗證的影像的風險。此外，當使用「most_recent = true」參數而未指定 AMI 擁有者時，Terraform 等基礎架構即程式碼工具已開始發出警告，並計劃在未來版本中實施更嚴格的驗證。

加強雲端安全實踐

為了盡量減少此類策略的實施，管理 AWS 環境的組織應審查其 AMI 檢索流程，並確保所有搜尋都指定所有者 ID 或核准的 AMI 清單。結合以下安全最佳實踐：

• 對 AMI 選擇實施嚴格的存取控制
• 定期審核雲端配置
• 利用 AWS 安全功能（例如允許的 AMI）
• 應用監控解決方案檢測異常部署

透過解決這些漏洞，企業可以降低成為 whoAMI 等名稱混淆威脅的受害者的可能性，並增強其基於雲端的基礎設施的整體安全性。