Les chercheurs en cybersécurité ont divulgué un nouveau type d’attaque de confusion de nom appelé Whoami qui permet à quiconque publie une image de machine Amazon (Ami) avec un nom spécifique pour gagner l’exécution de code dans le compte Amazon Web Services (AWS).
“S’il est exécuté à grande échelle, cette attaque pourrait être utilisée pour accéder à des milliers de comptes”, chercheur Seth Art, chercheur en laboratoire de sécurité de Datadog, Seth Art dit Dans un rapport partagé avec le Hacker News. “Le modèle vulnérable se trouve dans de nombreux référentiels de code privé et open source.”
En son cœur, l’attaque est un sous-ensemble d’une attaque de chaîne d’approvisionnement qui implique de publier une ressource malveillante et de tromper des logiciels à tort à l’utilisation au lieu de l’homologue légitime.
L’attaque exploite le fait que quiconque peut ami, qui fait référence à une image de machine virtuelle qui est utilisée pour démarrer les instances Elastic Compute Cloud (EC2) dans AWS, au catalogue communautaire et au fait que les développeurs pourraient omettre de mentionner les “- propriétaires “Attribut quand recherche pour un via l’API EC2: décrire lestimages.
En termes différemment, l’attaque de confusion de nom nécessite que les trois conditions ci-dessous soient remplies lorsqu’une victime récupère l’ami via l’API –
- Utilisation du filtre de nom,
- Un non-spécification du propriétaire, du propriétaire-amias ou des paramètres propriétaires-ID,
- Récupérer l’image la plus créée récemment à partir de la liste retournée des images correspondantes (“Most_recent = true”)
Cela conduit à un scénario où un attaquant peut créer un ami malveillant avec un nom qui correspond au modèle spécifié dans les critères de recherche, entraînant la création d’une instance EC2 en utilisant le doppelgänger AMI de l’acteur de menace.
Ceci, à son tour, accorde des capacités d’exécution de code distant (RCE) sur l’instance, permettant aux acteurs de la menace d’initier diverses actions post-exploitation.
https://www.youtube.com/watch?v=l-wexfjd-bo
Tout ce dont un attaquant a besoin est un compte AWS pour publier son AMI arrière dans le catalogue AMI de la communauté publique et opter pour un nom qui correspond aux AMI recherchées par leurs cibles.
“Il est très similaire à une attaque de confusion de dépendance, sauf que dans ce dernier, la ressource malveillante est une dépendance logicielle (comme un package PIP), tandis que dans l’attaque de confusion du nom Whoami, la ressource malveillante est une image de machine virtuelle” ” L’art a dit.
Datadog a déclaré qu’environ 1% des organisations surveillées par la société ont été affectées par l’attaque de Whoami, et qu’elle a trouvé des exemples publics de code écrit en Python, Go, Java, Terraform, Pulumi et Bash Shell en utilisant les critères vulnérables.
Après la divulgation responsable le 16 septembre 2024, le problème a été résolu par Amazon trois jours plus tard. Lorsqu’il a été contacté pour commenter, AWS a déclaré au Hacker News qu’il n’avait trouvé aucune preuve que la technique avait été abusée dans la nature.
“Tous les services AWS fonctionnent comme conçus. Sur la base d’une analyse et d’une surveillance des journaux approfondis, notre enquête a confirmé que la technique décrite dans cette recherche n’a été exécutée que par les chercheurs autorisés eux-mêmes, sans aucune preuve d’utilisation par d’autres parties”, la société dit.
“Cette technique pourrait affecter les clients qui récupèrent les identifiants d’image d’image Amazon Machine (AMI) via l’API EC2: DÉCRIMAGES sans spécifier la valeur du propriétaire. En décembre 2024, nous avons introduit AMIS AMIS, un nouveau Paramètre à l’échelle du compte Cela permet aux clients de limiter la découverte et l’utilisation d’AMIS dans leurs comptes AWS. Nous recommandons aux clients d’évaluer et de mettre en œuvre cela Nouveau contrôle de sécurité. “
En novembre dernier, Hashicorp Terraform a commencé à émettre des avertissements aux utilisateurs lorsque “Most_recent = true” est utilisé sans un filtre de propriétaire dans Terraform-Provider-aws Version 5.77.0. Le diagnostic d’avertissement est attendu Pour être mis à niveau vers une erreur Effective Version 6.0.0.



