Cybersecurity -onderzoekers hebben een nieuw type naam van de naam verwarring bekendgemaakt met de naam whoami waarmee iedereen die een Amazon Machine Image (AMI) publiceert met een specifieke naam om code -uitvoering te krijgen binnen het Amazon Web Services (AWS) -account.
“Indien uitgevoerd op schaal, zou deze aanval kunnen worden gebruikt om toegang te krijgen tot duizenden accounts,” zei datadog Security Labs -onderzoeker Seth Art in een rapport dat wordt gedeeld met het Hacker News. “Het kwetsbare patroon is te vinden in veel private en open source code -repositories.”
In de kern is de aanval een subset van een supply chain -aanval waarbij een kwaadwillende bron wordt gepubliceerd en verkeerd geconfigureerde software wordt misleid om deze te gebruiken in plaats van de legitieme tegenhanger.
De aanval maakt gebruik van het feit dat iedereen ami kan, dat verwijst naar een virtueel machine-beeld dat wordt gebruikt om elastische Compute Cloud (EC2) -instanties in AWS op te starten, met de communitycatalogus en het feit dat ontwikkelaars zouden kunnen weglaten om de “-denders te vermelden “Attribuut bij het zoeken naar een via de EC2: Beschrijfimages API.
Anders gezegd, de naam Verwarringaanval vereist dat aan de onderstaande drie voorwaarden moet worden voldaan wanneer een slachtoffer de AMI -ID via de API ophaalt –
- Gebruik van het naamfilter,
- Een niet-specificeren van de eigenaar, de eigenaar-alias of de eigenaar-ID-parameters,
- De meest recent gemaakte afbeelding halen uit de geretourneerde lijst met overeenkomende afbeeldingen (“most_recent = true”)
Dit leidt tot een scenario waarin een aanvaller een kwaadwillende AMI kan maken met een naam die overeenkomt met het patroon dat is opgegeven in de zoekcriteria, wat resulteert in het maken van een EC2 -instantie met behulp van de Doppelgänger AMI van de dreigingsacteur.
Dit geeft op zijn beurt de mogelijkheden voor externe code-uitvoering (RCE) op de instantie, waardoor de dreigingsactoren verschillende acties na de exploitatie kunnen initiëren.
https://www.youtube.com/watch?v=l-Wexfjd-bo
Het enige dat een aanvaller nodig heeft, is een AWS -account om hun achterdeur AMI te publiceren bij de openbare gemeenschap Ami -catalogus en te kiezen voor een naam die overeenkomt met de AMI’s die door hun doelen wordt gezocht.
“Het lijkt erg op een afhankelijkheidsverwarringaanval, behalve dat in het laatste de kwaadaardige bron een software -afhankelijkheid (zoals een PIP -pakket) is, terwijl de WHOAMI -naamverwarringaanval de kwaadaardige bron een virtuele machine -afbeelding is,” Zei kunst.
Datadog zei dat ongeveer 1% van de door het bedrijf gemonitaliseerde organisaties werd getroffen door de WHOAMI -aanval en dat het openbare voorbeelden van code vond geschreven in Python, GO, Java, Terraform, Pulumi en Bash Shell met behulp van de kwetsbare criteria.
Na verantwoorde openbaarmaking op 16 september 2024, werd de kwestie drie dagen later door Amazon aangepakt. Toen AWS werd bereikt voor commentaar, vertelde AWS The Hacker News dat het geen bewijs vond dat de techniek in het wild werd misbruikt.
“Alle AWS -diensten werken zoals ontworpen. Op basis van uitgebreide loganalyse en monitoring bevestigde ons onderzoek dat de in dit onderzoek beschreven techniek alleen is uitgevoerd door de geautoriseerde onderzoekers zelf, zonder bewijs van gebruik door andere partijen,” het bedrijf gezegd.
“Deze techniek kan van invloed zijn op klanten die AMI-ID’s van Amazon Machine (AMI) ophalen via de EC2: Beschrijfimages API zonder de waarde van de eigenaar te specificeren. In december 2024 hebben we toegestaan AMIS geïntroduceerd, een nieuwe accountbrede instelling die klanten in staat stelt de ontdekking te beperken en Gebruik van AMI’s binnen hun AWS -accounts. We raden klanten aan deze nieuwe beveiligingscontrole te evalueren en te implementeren. “
Vanaf afgelopen november is Hashicorp Terraform begonnen met het geven van waarschuwingen aan gebruikers wanneer “most_recent = true” wordt gebruikt zonder een eigenaarfilter in Terraform-Provider-Aws versie 5.77.0. De waarschuwingsdiagnostiek zal naar verwachting worden opgewaardeerd naar een fout effectieve versie 6.0.0.
