Los investigadores de ciberseguridad han revelado un nuevo tipo de ataque de confusión de nombre llamado Whoami que permite a cualquiera que publique una imagen de Amazon Machine (Ami) con un nombre específico para obtener la ejecución del código dentro de la cuenta de Amazon Web Services (AWS).
“Si se ejecuta a escala, este ataque podría usarse para obtener acceso a miles de cuentas”, el investigador de los laboratorios de seguridad de Datadog Seth Art dicho En un informe compartido con The Hacker News. “El patrón vulnerable se puede encontrar en muchos repositorios de código de código fuente privado y abierto”.
En el fondo, el ataque es un subconjunto de un ataque de la cadena de suministro que implica publicar un recurso malicioso y engañar al software mal configurado para usarlo en lugar de la contraparte legítima.
El ataque explota el hecho de que cualquiera puede ami, lo que se refiere a una imagen de máquina virtual que se usa para iniciar instancias de la nube de cómputo elástica (EC2) en AWS, al catálogo de la comunidad y al hecho de que los desarrolladores podrían omitir para mencionar los “propietarios “Atributo cuando búsqueda Para uno a través del EC2: Describa la API de IMPRESA.
Dicho de manera diferente, el ataque de confusión del nombre requiere que se cumplan las siguientes tres condiciones cuando una víctima recupera la ID de AMI a través de la API –
- Uso del filtro de nombre,
- No especificar el propietario, el propietario-alias o los parámetros del propietario-id,
- Obtener la mayoría de la imagen recientemente creada en la lista de imágenes coincidentes devueltas (“Most_recent = True”)
Esto lleva a un escenario en el que un atacante puede crear un AMI malicioso con un nombre que coincida con el patrón especificado en los criterios de búsqueda, lo que resulta en la creación de una instancia de EC2 utilizando la amenaza del actor Doppelgänger AMI.
Esto, a su vez, otorga capacidades de ejecución de código remoto (RCE) en la instancia, lo que permite a los actores de amenaza iniciar varias acciones posteriores a la explotación.
https://www.youtube.com/watch?v=l-wexfjd-bo
Todo lo que un atacante necesita es una cuenta de AWS para publicar su AMI trasero al catálogo de la comunidad pública de AMI y optar por un nombre que coincida con los amis buscados por sus objetivos.
“Es muy similar a un ataque de confusión de dependencia, excepto que en este último, el recurso malicioso es una dependencia de software (como un paquete PIP), mientras que en el Ataque de confusión de Whoami Name, el recurso malicioso es una imagen de la máquina virtual”, “, Dijo Art.
Datadog dijo que aproximadamente el 1% de las organizaciones monitoreadas por la compañía se vieron afectadas por el ataque Whoami, y que encontró ejemplos públicos de código escritos en Python, Go, Java, Terraform, Pulumi y Bash Shell utilizando los criterios vulnerables.
Después de la divulgación responsable el 16 de septiembre de 2024, Amazon abordó el problema tres días después. Cuando se le contactó para hacer comentarios, AWS le dijo a Hacker News que no encontró ninguna evidencia de que la técnica fuera abusada en la naturaleza.
“Todos los servicios de AWS están funcionando según lo diseñado. Basado en un amplio análisis y monitoreo de registros, nuestra investigación confirmó que la técnica descrita en esta investigación solo ha sido ejecutada por los propios investigadores autorizados, sin evidencia de uso por parte de ninguna otra parte”, la compañía dijo.
“Esta técnica podría afectar a los clientes que recuperan ID de imagen de Amazon Machine (AMI) a través del EC2: Describa la API de IMPRESIÓN sin especificar el valor del propietario. En diciembre de 2024, introdujimos AMIS permitido, un nuevo configuración en toda la cuenta Eso permite a los clientes limitar el descubrimiento y el uso de AMIS dentro de sus cuentas de AWS. Recomendamos a los clientes evaluar e implementar esto Nuevo control de seguridad“
A partir de noviembre pasado, Hashicorp Terraform ha comenzado a emitir advertencias a los usuarios cuando “Most_recent = True” se usa sin un filtro de propietario en Terraform-Provider-Aws Versión 5.77.0. El diagnóstico de advertencia es esperado para actualizarse a un error efectivo Versión 6.0.0.
About the Author
