Cercetatorii in securitate au descoperit un atac de confuzie de nume care permite accesul la un cont Amazon Web Services oricarei persoane care publica o Imagine de Masina Amazon (AMI) cu un nume specific.
Denumit „whoAMI,” atacul a fost creat de cercetatorii DataDog in august 2024, care au demonstrat ca este posibil pentru atacatori sa obtina executie de cod in conturile AWS prin exploatarea modului in care proiectele de software extrag ID-urile AMI.
Amazon a confirmat vulnerabilitatea si a implementat o solutie in septembrie, dar problema persista pe partea clientilor in medii in care organizatiile esueaza sa actualizeze codul.
AMIs sunt masini virtuale preconfigurate cu software-ul necesar (sistem de operare, aplicatii) folosite pentru crearea serverelor virtuale, numite instante EC2 (Elastic Compute Cloud) in ecosistemul AWS.
Există AMIs publice și private, fiecare cu un identificator specific. In cazul celor publice, utilizatorii pot căuta in catalogul AWS ID-ul corect al AMI-ului de care au nevoie.
Pentru a se asigura ca AMI-ul provine de la o sursa de incredere in piata AWS, cautarea trebuie sa includa atributul „owners,” altfel riscul unui atac de confuzie de nume whoAMI creste.
Atacul whoAMI este posibil datorita selectiei AMI neconfigurate in mediile AWS:
Aceste conditii permit atacatorilor sa introduca AMIs malitioase in procesul de selectie prin denumirea resurselor similar cu una de incredere. Fara specificarea unui proprietar, AWS returneaza toate AMI-urile care se potrivesc, inclusiv cele ale atacatorului.
Daca parametrul „most_recent” este setat la „true,” sistemul victimei furnizeaza cele mai recente AMIs adaugate in piata, care pot include unul malitios cu un nume similar cu o intrare legitima.
Practic, tot ce trebuie sa faca un atacator este sa publice un AMI cu un nume care se potriveste cu modelul folosit de proprietarii de incredere, facandu-le usor utilizatorilor sa-l selecteze si sa lanseze o instanta EC2.
Atacul whoAMI nu necesita incalcarea contului AWS al tinte. Atacatorul are nevoie doar de un cont AWS pentru a publica AMI-ul lor cu backdoor in catalogul public al AMI-urilor comunitare si pentru a alege strategic un nume care sa imite AMI-urile tintelor lor.
Datadog spune ca, pe baza telemetriei lor, aproximativ 1% din organizatiile monitorizate de companie sunt vulnerabile la atacurile whoAMI, dar „aceasta vulnerabilitate afecteaza probabil mii de conturi AWS distincte.”
Cercetatorii DataDog l-au notificat pe Amazon despre defect si compania a confirmat ca sistemele interne de non-productie erau vulnerabile la atacul whoAMI.
Problema a fost rezolvata anul trecut pe 19 septembrie, iar pe 1 decembrie AWS a introdus un nou control de securitate numit „Allowed AMIs” permitand clientilor sa creeze o lista de permisiuni a furnizorilor de AMI de incredere.
AWS a declarat ca vulnerabilitatea nu a fost exploatata in afara testelor cercetatorilor in securitate, astfel ca nu au fost compromise datele clientilor prin atacurile whoAMI.
Amazon ii sfatuieste pe clienti sa specifice intotdeauna proprietarii AMI-urilor atunci cand folosesc API-ul „ec2:DescribeImages” si sa activeze functia „Allowed AMIs” pentru protectie suplimentara.
Noua functie este disponibila prin AWS Console → EC2 → Atribute cont → Allowed AMIs.
Incepand cu luna noiembrie, Terraform 5.77 a inceput sa avertizeze utilizatorii atunci cand se foloseste „most_recent = true” fara un filtru de proprietar, cu o aplicare mai stricta planificata pentru viitoarele versiuni (6.0).
Administratorii de sistem trebuie sa isi auditeze configuratia si sa isi actualizeze codul surselor AMI-urilor (Terraform, AWS CLI, Python Boto3 si Go AWS SDK) pentru recuperarea sigura a AMI-urilor.
Pentru a verifica daca AMI-urile neverificate sunt in uz in prezent, activati Modul Audit AWS prin „Allowed AMIs” si treceti la „Modul de aplicare” pentru a le bloca.
DataDog a lansat de asemenea un scaner pentru a verifica contul AWS pentru instantele create din AMI-uri neverificate, disponibil in acest depozit GitHub.
Amazon Redshift primeste setari implicite noi pentru a preveni incalcari de date
Ransomware abuzeaza de caracteristica Amazon AWS pentru a cripta bucket-urile S3
Cum atacatorii abuzeaza de Namesquatting-ul S3 Bucket — Si cum sa ii opresti
Noul atac Syncjacking fura dispozitive folosind extensii Chrome
Atacatorii exploateaza o vulnerabilitate critica de RCE in Aviatrix Controller in atacuri
Leave a Reply