{"id":1539522,"date":"2025-02-14T18:07:42","date_gmt":"2025-02-14T20:07:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-attaque-whoami-exploite-aws-ami-nom-confusion-pour-lexecution-du-code-distant\/"},"modified":"2025-02-14T18:07:47","modified_gmt":"2025-02-14T20:07:47","slug":"nouvelle-attaque-whoami-exploite-aws-ami-nom-confusion-pour-lexecution-du-code-distant","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-attaque-whoami-exploite-aws-ami-nom-confusion-pour-lexecution-du-code-distant\/","title":{"rendered":"Nouvelle attaque \u00abwhoami\u00bb exploite Aws Ami Nom Confusion pour l&#8217;ex\u00e9cution du code distant"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ DevOps<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Nouvelle-attaque-whoami-exploite-Aws-Ami-Nom-Confusion-pour-lexecution.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont divulgu\u00e9 un nouveau type d&#8217;attaque de confusion de nom appel\u00e9 Whoami qui permet \u00e0 quiconque publie une image de machine Amazon (<a rel=\"noopener nofollow\" href=\"https:\/\/docs.aws.amazon.com\/AWSEC2\/latest\/UserGuide\/AMIs.html\" target=\"_blank\">Ami<\/a>) avec un nom sp\u00e9cifique pour gagner l&#8217;ex\u00e9cution de code dans le compte Amazon Web Services (AWS).<\/p>\n<p>&#8220;S&#8217;il est ex\u00e9cut\u00e9 \u00e0 grande \u00e9chelle, cette attaque pourrait \u00eatre utilis\u00e9e pour acc\u00e9der \u00e0 des milliers de comptes&#8221;, chercheur Seth Art, chercheur en laboratoire de s\u00e9curit\u00e9 de Datadog, Seth Art <a rel=\"noopener nofollow\" href=\"https:\/\/securitylabs.datadoghq.com\/articles\/whoami-a-cloud-image-name-confusion-attack\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News. &#8220;Le mod\u00e8le vuln\u00e9rable se trouve dans de nombreux r\u00e9f\u00e9rentiels de code priv\u00e9 et open source.&#8221;<\/p>\n<p>En son c\u0153ur, l&#8217;attaque est un sous-ensemble d&#8217;une attaque de cha\u00eene d&#8217;approvisionnement qui implique de publier une ressource malveillante et de tromper des logiciels \u00e0 tort \u00e0 l&#8217;utilisation au lieu de l&#8217;homologue l\u00e9gitime.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;attaque exploite le fait que quiconque peut ami, qui fait r\u00e9f\u00e9rence \u00e0 une image de machine virtuelle qui est utilis\u00e9e pour d\u00e9marrer les instances Elastic Compute Cloud (EC2) dans AWS, au catalogue communautaire et au fait que les d\u00e9veloppeurs pourraient omettre de mentionner les &#8220;- propri\u00e9taires &#8220;Attribut quand <a rel=\"noopener nofollow\" href=\"https:\/\/docs.aws.amazon.com\/AWSEC2\/latest\/UserGuide\/finding-an-ami.html\" target=\"_blank\">recherche<\/a> pour un via l&#8217;API EC2: d\u00e9crire lestimages.<\/p>\n<p>En termes diff\u00e9remment, l&#8217;attaque de confusion de nom n\u00e9cessite que les trois conditions ci-dessous soient remplies lorsqu&#8217;une victime r\u00e9cup\u00e8re l&#8217;ami via l&#8217;API &#8211;<\/p>\n<ul>\n<li>Utilisation du filtre de nom,<\/li>\n<li>Un non-sp\u00e9cification du propri\u00e9taire, du propri\u00e9taire-amias ou des param\u00e8tres propri\u00e9taires-ID, <\/li>\n<li>R\u00e9cup\u00e9rer l&#8217;image la plus cr\u00e9\u00e9e r\u00e9cemment \u00e0 partir de la liste retourn\u00e9e des images correspondantes (&#8220;Most_recent = true&#8221;)<\/li>\n<\/ul>\n<p>Cela conduit \u00e0 un sc\u00e9nario o\u00f9 un attaquant peut cr\u00e9er un ami malveillant avec un nom qui correspond au mod\u00e8le sp\u00e9cifi\u00e9 dans les crit\u00e8res de recherche, entra\u00eenant la cr\u00e9ation d&#8217;une instance EC2 en utilisant le doppelg\u00e4nger AMI de l&#8217;acteur de menace.<\/p>\n<p>Ceci, \u00e0 son tour, accorde des capacit\u00e9s d&#8217;ex\u00e9cution de code distant (RCE) sur l&#8217;instance, permettant aux acteurs de la menace d&#8217;initier diverses actions post-exploitation.<\/p>\n<p><a href=\"https:\/\/www.youtube.com\/watch?v=l-wexfjd-bo\" rel=\"nofollow noopener\" target=\"_blank\">https:\/\/www.youtube.com\/watch?v=l-wexfjd-bo<\/a><\/p>\n<p>Tout ce dont un attaquant a besoin est un compte AWS pour publier son AMI arri\u00e8re dans le catalogue AMI de la communaut\u00e9 publique et opter pour un nom qui correspond aux AMI recherch\u00e9es par leurs cibles.<\/p>\n<p>&#8220;Il est tr\u00e8s similaire \u00e0 une attaque de confusion de d\u00e9pendance, sauf que dans ce dernier, la ressource malveillante est une d\u00e9pendance logicielle (comme un package PIP), tandis que dans l&#8217;attaque de confusion du nom Whoami, la ressource malveillante est une image de machine virtuelle&#8221; &#8221; L&#8217;art a dit.<\/p>\n<p>Datadog a d\u00e9clar\u00e9 qu&#8217;environ 1% des organisations surveill\u00e9es par la soci\u00e9t\u00e9 ont \u00e9t\u00e9 affect\u00e9es par l&#8217;attaque de Whoami, et qu&#8217;elle a trouv\u00e9 des exemples publics de code \u00e9crit en Python, Go, Java, Terraform, Pulumi et Bash Shell en utilisant les crit\u00e8res vuln\u00e9rables.<\/p>\n<p>Apr\u00e8s la divulgation responsable le 16 septembre 2024, le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par Amazon trois jours plus tard. Lorsqu&#8217;il a \u00e9t\u00e9 contact\u00e9 pour commenter, AWS a d\u00e9clar\u00e9 au Hacker News qu&#8217;il n&#8217;avait trouv\u00e9 aucune preuve que la technique avait \u00e9t\u00e9 abus\u00e9e dans la nature.<\/p>\n<p>&#8220;Tous les services AWS fonctionnent comme con\u00e7us. Sur la base d&#8217;une analyse et d&#8217;une surveillance des journaux approfondis, notre enqu\u00eate a confirm\u00e9 que la technique d\u00e9crite dans cette recherche n&#8217;a \u00e9t\u00e9 ex\u00e9cut\u00e9e que par les chercheurs autoris\u00e9s eux-m\u00eames, sans aucune preuve d&#8217;utilisation par d&#8217;autres parties&#8221;, la soci\u00e9t\u00e9 dit.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cette technique pourrait affecter les clients qui r\u00e9cup\u00e8rent les identifiants d&#8217;image d&#8217;image Amazon Machine (AMI) via l&#8217;API EC2: D\u00c9CRIMAGES sans sp\u00e9cifier la valeur du propri\u00e9taire. En d\u00e9cembre 2024, nous avons introduit AMIS AMIS, un nouveau <a rel=\"noopener nofollow\" href=\"https:\/\/aws.amazon.com\/about-aws\/whats-new\/2024\/12\/amazon-ec2-allowed-amis-enhance-ami-governance\/\" target=\"_blank\">Param\u00e8tre \u00e0 l&#8217;\u00e9chelle du compte<\/a> Cela permet aux clients de limiter la d\u00e9couverte et l&#8217;utilisation d&#8217;AMIS dans leurs comptes AWS. Nous recommandons aux clients d&#8217;\u00e9valuer et de mettre en \u0153uvre cela <a rel=\"noopener nofollow\" href=\"https:\/\/docs.aws.amazon.com\/AWSEC2\/latest\/UserGuide\/ec2-allowed-amis.html\" target=\"_blank\">Nouveau contr\u00f4le de s\u00e9curit\u00e9<\/a>. &#8220;<\/p>\n<p>En novembre dernier, Hashicorp Terraform a commenc\u00e9 \u00e0 \u00e9mettre des avertissements aux utilisateurs lorsque &#8220;Most_recent = true&#8221; est utilis\u00e9 sans un filtre de propri\u00e9taire dans Terraform-Provider-aws <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/hashicorp\/terraform-provider-aws\/releases\/tag\/v5.77.0\" target=\"_blank\">Version 5.77.0<\/a>. Le diagnostic d&#8217;avertissement est <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/hashicorp\/terraform-provider-aws\/issues\/40198\" target=\"_blank\">attendu<\/a> Pour \u00eatre mis \u00e0 niveau vers une erreur Effective Version 6.0.0.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/new-whoami-attack-exploits-aws-ami-name.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 f\u00e9vrier 2025\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ DevOps Les chercheurs en cybers\u00e9curit\u00e9 ont divulgu\u00e9 un nouveau type d&#8217;attaque de confusion de nom appel\u00e9 Whoami qui permet \u00e0 quiconque publie une image de machine Amazon (Ami) avec un nom sp\u00e9cifique pour gagner l&#8217;ex\u00e9cution de code dans le compte Amazon Web Services (AWS). &#8220;S&#8217;il est ex\u00e9cut\u00e9 \u00e0 grande \u00e9chelle, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1539524,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,168,1933,45034,5597,4168,16464,79002,274264,4161,274263,6124,80936,7727,40144,274267,4160,1172,197,185,238617,246491,4172,79016,4166,4164,280289],"class_list":["post-1539522","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-ami","tag-attaque","tag-aws","tag-code","tag-comment-pirater","tag-confusion","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-distant","tag-exploite","tag-lexecution","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nom","tag-nouvelle","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-whoami"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1539522","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1539522"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1539522\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1539524"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1539522"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1539522"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1539522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}