Siber güvenlik araştırmacıları, Whoami adında bir Amazon Machine görüntüsü yayınlayan herkese izin veren yeni bir isim karışıklık saldırısı türü açıkladı (Ami) Amazon Web Hizmetleri (AWS) hesabında kod yürütme kazanmak için belirli bir adla.
Datadog Security Labs araştırmacısı Seth Art, “Ölçekte yürütülürse, bu saldırı binlerce hesaba erişmek için kullanılabilir.” söz konusu Hacker News ile paylaşılan bir raporda. “Savunmasız desen birçok özel ve açık kaynak kod deposunda bulunabilir.”
Saldırı, kalbinde, kötü niyetli bir kaynak yayınlamayı ve yanlış yapılandırılmış yazılımı meşru muadil yerine kullanmaya yönlendiren bir tedarik zinciri saldırısının bir alt kümesidir.
Saldırı, AWS’deki elastik hesaplama bulutu (EC2) örneklerini topluluk kataloğuna önyüklemek için kullanılan sanal bir makine görüntüsüne atıfta bulunan herkesin AMI ve geliştiricilerin “-sahiplerinden bahsetmeleri gerçeğinden yararlanabileceği gerçeğinden yararlanıyor. “Ne zaman nitelik arama EC2 aracılığıyla biri için: Açıklama API.
Farklı bir şekilde, kafa karışıklığı saldırısı, bir kurban AMI kimliğini API aracılığıyla geri aldığında, aşağıdaki üç koşulun karşılanmasını gerektirir –
- İsim filtresinin kullanımı,
- Sahibi, sahibi-Alias veya sahip-ID parametrelerini belirtememe,
- Eşleşen görüntülerin iade edilen listesinden en yakın zamanda oluşturulan görüntüyü getirme (“Most_recent = true”)
Bu, bir saldırganın arama kriterlerinde belirtilen desenle eşleşen bir adla kötü amaçlı bir AMI oluşturabileceği ve tehdit oyuncusu Doppelgänger Ami’yi kullanarak bir EC2 örneğinin oluşturulmasına neden olabileceği bir senaryoya yol açar.
Bu da, örneğe uzaktan kod yürütme (RCE) yetenekleri verir ve tehdit aktörlerinin çeşitli azaltma sonrası eylemleri başlatmasına izin verir.
https://www.youtube.com/watch?v=l-wexfjd-bo
Tüm bir saldırganın ihtiyaçları, geri çekilen AMI’lerini kamu topluluğu AMI kataloğuna yayınlamak ve hedefleri tarafından aranan AMI’lerle eşleşen bir isim tercih etmek için bir AWS hesabıdır.
“Bir bağımlılık karışıklığı saldırısına çok benzer, ancak ikincisinde kötü amaçlı kaynak bir yazılım bağımlılığı (bir pip paketi gibi), Whoami Name Confusion Saldırısı’nda kötü amaçlı kaynak sanal bir makine görüntüsüdür,” Dedi sanat.
Datadog, şirket tarafından izlenen kuruluşların yaklaşık% 1’inin Whoami saldırısından etkilendiğini ve savunmasız kriterleri kullanarak Python, Go, Java, Terraform, Pulumi ve Bash Shell’de yazılmış kod örneklerini bulduğunu söyledi.
16 Eylül 2024’teki sorumlu açıklamanın ardından, sorun üç gün sonra Amazon tarafından ele alındı. Yorum için ulaşıldığında AWS, Hacker News’e, tekniğin vahşi doğada istismar edildiğine dair herhangi bir kanıt bulamadığını söyledi.
Şirket, “Tüm AWS hizmetleri tasarlandığı gibi çalışıyor. Kapsamlı günlük analizine ve izlemeye dayanarak, araştırmamız bu araştırmada açıklanan tekniğin yalnızca yetkili araştırmacılar tarafından yürütüldüğünü doğruladı,” söz konusu.
“Bu teknik, Amazon Machine Image (AMI) ID’lerini EC2 üzerinden alan müşterileri etkileyebilir: Aralık 2024’te API’ları DeansMiMage API’ları etkileyebilir. Hesap çapında ayar Bu, müşterilerin AWS hesaplarında AMIS’in keşfini ve kullanımını sınırlamalarını sağlar. Müşterilerin bunu değerlendirmesini ve uygulamasını tavsiye ediyoruz Yeni Güvenlik Kontrolü. “
Geçen Kasım ayından itibaren Hashicorp Terraform, “Most_Recent = true” TerraForm-Provider-Aws’da sahip filtresi olmadan kullanıldığında kullanıcılara uyarılar vermeye başladı. Sürüm 5.77.0. Uyarı teşhisi beklenen Etkili bir sürüm 6.0.0’a yükseltilmek.
