Los investigadores de ciberseguridad han revelado un nuevo tipo de ataque de confusi\u00f3n de nombre llamado Whoami que permite a cualquiera que publique una imagen de Amazon Machine (Ami<\/a>) con un nombre espec\u00edfico para obtener la ejecuci\u00f3n del c\u00f3digo dentro de la cuenta de Amazon Web Services (AWS).<\/p>\n “Si se ejecuta a escala, este ataque podr\u00eda usarse para obtener acceso a miles de cuentas”, el investigador de los laboratorios de seguridad de Datadog Seth Art dicho<\/a> En un informe compartido con The Hacker News. “El patr\u00f3n vulnerable se puede encontrar en muchos repositorios de c\u00f3digo de c\u00f3digo fuente privado y abierto”.<\/p>\n En el fondo, el ataque es un subconjunto de un ataque de la cadena de suministro que implica publicar un recurso malicioso y enga\u00f1ar al software mal configurado para usarlo en lugar de la contraparte leg\u00edtima.<\/p>\n El ataque explota el hecho de que cualquiera puede ami, lo que se refiere a una imagen de m\u00e1quina virtual que se usa para iniciar instancias de la nube de c\u00f3mputo el\u00e1stica (EC2) en AWS, al cat\u00e1logo de la comunidad y al hecho de que los desarrolladores podr\u00edan omitir para mencionar los “propietarios “Atributo cuando b\u00fasqueda<\/a> Para uno a trav\u00e9s del EC2: Describa la API de IMPRESA.<\/p>\n Dicho de manera diferente, el ataque de confusi\u00f3n del nombre requiere que se cumplan las siguientes tres condiciones cuando una v\u00edctima recupera la ID de AMI a trav\u00e9s de la API –<\/p>\n Esto lleva a un escenario en el que un atacante puede crear un AMI malicioso con un nombre que coincida con el patr\u00f3n especificado en los criterios de b\u00fasqueda, lo que resulta en la creaci\u00f3n de una instancia de EC2 utilizando la amenaza del actor Doppelg\u00e4nger AMI.<\/p>\n Esto, a su vez, otorga capacidades de ejecuci\u00f3n de c\u00f3digo remoto (RCE) en la instancia, lo que permite a los actores de amenaza iniciar varias acciones posteriores a la explotaci\u00f3n.<\/p>\n https:\/\/www.youtube.com\/watch?v=l-wexfjd-bo<\/a><\/p>\n Todo lo que un atacante necesita es una cuenta de AWS para publicar su AMI trasero al cat\u00e1logo de la comunidad p\u00fablica de AMI y optar por un nombre que coincida con los amis buscados por sus objetivos.<\/p>\n “Es muy similar a un ataque de confusi\u00f3n de dependencia, excepto que en este \u00faltimo, el recurso malicioso es una dependencia de software (como un paquete PIP), mientras que en el Ataque de confusi\u00f3n de Whoami Name, el recurso malicioso es una imagen de la m\u00e1quina virtual”, “, Dijo Art.<\/p>\n Datadog dijo que aproximadamente el 1% de las organizaciones monitoreadas por la compa\u00f1\u00eda se vieron afectadas por el ataque Whoami, y que encontr\u00f3 ejemplos p\u00fablicos de c\u00f3digo escritos en Python, Go, Java, Terraform, Pulumi y Bash Shell utilizando los criterios vulnerables.<\/p>\n Despu\u00e9s de la divulgaci\u00f3n responsable el 16 de septiembre de 2024, Amazon abord\u00f3 el problema tres d\u00edas despu\u00e9s. Cuando se le contact\u00f3 para hacer comentarios, AWS le dijo a Hacker News que no encontr\u00f3 ninguna evidencia de que la t\u00e9cnica fuera abusada en la naturaleza.<\/p>\n “Todos los servicios de AWS est\u00e1n funcionando seg\u00fan lo dise\u00f1ado. Basado en un amplio an\u00e1lisis y monitoreo de registros, nuestra investigaci\u00f3n confirm\u00f3 que la t\u00e9cnica descrita en esta investigaci\u00f3n solo ha sido ejecutada por los propios investigadores autorizados, sin evidencia de uso por parte de ninguna otra parte”, la compa\u00f1\u00eda dijo.<\/p>\n “Esta t\u00e9cnica podr\u00eda afectar a los clientes que recuperan ID de imagen de Amazon Machine (AMI) a trav\u00e9s del EC2: Describa la API de IMPRESI\u00d3N sin especificar el valor del propietario. En diciembre de 2024, introdujimos AMIS permitido, un nuevo configuraci\u00f3n en toda la cuenta<\/a> Eso permite a los clientes limitar el descubrimiento y el uso de AMIS dentro de sus cuentas de AWS. Recomendamos a los clientes evaluar e implementar esto Nuevo control de seguridad<\/a>“<\/p>\n A partir de noviembre pasado, Hashicorp Terraform ha comenzado a emitir advertencias a los usuarios cuando “Most_recent = True” se usa sin un filtro de propietario en Terraform-Provider-Aws Versi\u00f3n 5.77.0<\/a>. El diagn\u00f3stico de advertencia es esperado<\/a> para actualizarse a un error efectivo Versi\u00f3n 6.0.0.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Nuevo-Whoami-Attack-Exploits-AWS-Ami-Nombre-Confusion-para-la.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n