Bilgisayar korsanlarının bulutunuzu ele geçirmesine izin veren AWS istismarı – siz bilmeden!

Bulut güvenliği, yeni saldırı vektörleri ortaya çıktıkça gelişen bir zorluk olmaya devam ediyor ve genellikle açık yazılım güvenlik açıklarından ziyade yanlış yapılandırmalardan yararlanıyor. Ağustos 2024’te araştırmacılar Datadog Güvenlik Laboratuarları bir romanı ortaya çıkardı İsim Karışıklık Saldırısı Bu yolda yanlış yapılandırmayı kullanan Amazon Makine Görüntüleri (AMIS) AWS ortamlarında alınır. Bu saldırı, dublaj Whoamirakiplerin AMI seçim mekanizmalarını manipüle ederek AWS hesapları içinde keyfi kod yürütmelerini sağlar.

Bu rapor, derinlemesine bir analiz sağlar. Whoami saldırısıaltta yatan mekanizmalar, gerçek dünya etkisi, azaltma stratejileri ve bulut güvenlik profesyonelleri için en iyi uygulamalar.

Whoami saldırısını anlamak

AMIS’in AWS altyapısında rolü

Amazon Makine Görüntüleri (Amis) AWS ortamlarındaki temel bileşenlerdir, önceden yapılandırılmış sanal makine şablonları EC2 örneklerini başlatmak için kullanılır. Organizasyonlar, AMI’leri altyapıyı verimli bir şekilde sunmak için kullanıyor, Halka açık görüntüler, topluluk tarafından yazılmış görüntüler veya tescilli özel görüntüler.

Tipik olarak, Ubuntu veya Amazon Linux gibi en son işletim sistemi tabanlı AMI’yi arayan AWS kullanıcıları, DeenIMageAnes API en son görüntüyü dinamik olarak almak için. Ancak Whoami saldırısı Bu amis nasıl alındı.

Saldırı Mekanizması: İsim Karışıklıktan yararlanma

Whoami saldırısı bir Bir isim karışıklık saldırısının varyantıbu bir alt küme tedarik zinciri saldırıları. Benzer Bağımlılık Karışıklık Saldırılarıbu saldırı Hileler, kötü amaçlı bir kaynak seçmeye yönelik sistemleri yanlış yapılandırdı meşru bir yerine. Ancak, yazılım bağımlılıkları yerine, hedeflenen kaynak bir Sanal Makine Görüntüsü (AMI).

Saldırı aşağıdaki gibi çalışır:

1. Güvenlik açığı
   • Kuruluşlar genellikle AMIS’i dinamik olarak almak için Terraform gibi AWS API’leri veya kod olarak altyapı (IAC) araçlarını kullanırlar.
   • Yaygın bir yöntem, amis’i kullanarak aramaktır joker karakter desenleri (Örneğin, en sonun Ubuntu-20.04 Ami).
   • API Sık sık arayış “Sahibi” parametresini atlarsonuçların dahil edilmesine izin vermek Hem resmi hem de üçüncü taraf Amis.
2. Düşmanların Sömürü
   • Bir saldırgan kötü niyetli bir ami yayınlar ile beklenen bir desene eşleşen isim (Örn. ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*).
   • Onlar En son sürüm olarak zaman damgasıen son AMI’yi alan herhangi bir sorgunun Bilmeden saldırganın görüntüsünü seçer.
   • Bir kez kurbanın altyapısı Geri ihlal edilen AMI’yi kullanarak bir EC2 örneğini başlatırsaldırgan kazançlar Yürütme yetenekleri AWS hesabında.
3. Potansiyel sonuçlar
   • Kod Yürütme ve Yanal Hareket: Saldırganlar, örneğin başlatıldığında kötü amaçlı yükler yürütebilir.
   • Kalıcı erişim: AMI’ler geri yüklenebilir, kalıcı yetkisiz erişim sağlayarak.
   • Kimlik Bilgisi Hırsızlığı: AWS IAM rolleri ve sırlar örnek içinde ortaya çıkarsa, saldırganlar daha geniş AWS hizmetlerine dönüşebilir.
   • Tedarik zinciri uzlaşması: Meydan okulu Amis üzerine inşa edilmiş bulut iş yükleri kuruluşlar arasında sistemik güvenlik açıkları getiriyor.

Gerçek Dünya Etki: AWS’nin kendi altyapısı savunmasızdı

Whoami araştırmasının en endişe verici bulgularından biri, AWS’nin iç üretim dışı sistemleri savunmasızdı Bu saldırıya.

AWS dahili güvenlik açığı

Datadog Güvenlik Laboratuarları, AWS’nin kendisinin bu kusura duyarlı olup olmadığını belirlemek için kontrollü bir deney gerçekleştirdi. Onlar:

• İki iyi huylu amis yayınladı Resmi Amazon Linux görüntülerini taklit etmek için tasarlandı.
• Gözlemlenen On binlerce API talebi AWS’yi gösteren görüntülerini geri almak Dahili hizmetler AMIS’i güvensiz bir şekilde getiriyordu.

AWS, açıklamadan sonra bu sorunu derhal ele aldı ve sadece üretim dışı sistemler etkilendi Ve bu Hiçbir müşteri verisi risk altında değildi. Ancak bu olay, Bu güvenlik açığının yaygınlığını ve büyük ölçekli sömürü potansiyelini vurgular.

Etkilenen sistemlerin kapsamı

• Datadog bunu tahmin etti AWS kullanan kuruluşların yaklaşık% 1’i risk altındaydı.
• Binlerce AWS hesabı olabilir Bilmeden uzlaşmış AMI’leri dağıtmak.

Sömürü gösterisi ve etkilenen açık kaynaklı projeler

Savunmasız kod örneği

Tipik bir terraform konfigürasyonu bir AMI sahibi belirtemiyor Şöyle görünebilir:

hclCopyEditdata "aws_ami" "ubuntu" {
  most_recent = true
  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
  }
}

Bu durumda, Terraform filtreyi eşleştiren en son AMI’yi getirirkimin yayınladığına bakılmaksızın.

Etkilenen açık kaynaklı araçlar

Araştırmaları sırasında Datadog birkaç tane buldu Halka açık depolar Savunmasız AMI Alma Desenleri ile. Dikkate değer bir örnek AWSLABS/AWS-SIMPLE-EC2-CLIEC2 örneği yönetimini basitleştirmek için tasarlanmış AWS bakımlı bir araç. İçeren araç Sabit kodlanmış joker karakter ami sorguları AMI sahipliğini doğrulamadanWhoami saldırısına duyarlı hale getiriyor.

Tespit ve azaltma stratejileri

Sömürü önlemek için, bulut güvenlik ekipleri uygulamalı sağlam ami seçim kontrolleri ve proaktif olarak Güvenlik açıkları için ortamlarını tarayın.

Tespit: savunmasız kod nasıl tanımlanır

1. Kod tabanı denetimleri
   • Kullanmak Github Kod Araması AMI Alma Sorgularını tanımlamak için Sahip Doğrulamayı Atın.
   • Gibi desenleri arayın ec2:DescribeImages “Sahipler” olmadan filtreler.
2. Semgrep ile otomatik tarama
   • Güvenlik ekipleri yararlanabilir Semgrep Kuralları Güvensiz AMI seçim mantığını tespit etmek için.
3. Cloud Siem ve AWS CloudTrail İzleme
   • Uygulamak Bulut Siem Kuralları ile Şüpheli ami alımlarını işaretle.
   • Düzenli olarak gözden geçirin Cloudtrail günlükleri Beklenmedik AMI lansmanları için.

Azaltma: AMI alım süreçlerinin güvenliği

1. AWS’nin izin verilen AMIS özelliğini kullanın
   • Bu saldırıya yanıt olarak, AWS tanıtıldı AMIS izin verildi Aralık 2024’te.
   • Bu özellik, kullanıcıların Güvenilir AMI sağlayıcılarının izin verdiği listeyi oluşturundoğrulanmış kaynaklara dağıtımları kısıtlamak.
2. AMI sahiplerini açıkça belirtin
   • Amis’i sorgularken, Her zaman güvenilir sahip kimliklerini belirtin (Örneğin AWS, Canonical, Microsoft).
   • Bir örnek Güvenli API sorgusu: Bashcopyeditaws ec2 describe-images --owners "137112412989"
   • Bu sadece Amazon’a ait Amis alınır.
3. Datadog’un Whoami-Canner’ı kullanın
   • Datadog yayınladı açık kaynaklı güvenlik tarayıcısı güvenilmeyen ami kullanımını tespit etmek ve önlemek için.
4. Güvenlik bilinci ve politika uygulaması
   • Bulut güvenlik ekipleri Geliştiricileri eğitin güvenilmeyen amis riskleri hakkında.
   • Organizasyonlar IAC Güvenlik Politikalarını Uygulamak Gibi araçlar aracılığıyla AWS Config, Açık Politika Ajanı (OPA) ve Terraform Sentinel.

Çözüm

. Whoami saldırısı kritik bir tedarik zinciri riskini vurgular Bulut ortamlarında, nasıl Görünüşte iyi huylu yanlış yapılandırmalar sahip olabilir Şiddetli güvenlik sonuçları. AWS tanıtırken İzin verilen amis Bir hafifletme olarak, sorumluluk nihayetinde Güvenli bulut uygulamalarını zorlayacak kuruluşlar.

Güvenlik ekipleri AMI seçim süreçlerini aktif olarak izleyin ve güvence altına alınaltyapı dağıtımlarının güvenmesini sağlamak güvenilir ve doğrulanmış kaynaklar. Benimseyerek Proaktif Güvenlik Kontrolleri– otomatik algılama mekanizmalarıVe AMI Alma için En İyi Uygulamalarkuruluşlar etkili olabilir İsim karışıklık saldırılarının risklerini azaltın.

Siber güvenlik uzmanları için temel çıkarımlar

✅ Yanlış yapılandırılmış AMI sorguları uzaktan kod yürütme risklerine yol açabilir.
✅ AWS’nin kendisi savunmasızdı, ancak o zamandan beri hafifletmeler uyguladı.
✅ AMI sahiplerini API çağrılarında açıkça belirlemek kritik bir en iyi uygulamadır.
✅ Gelişmiş güvenlik için AWS izin verilen AMIS özelliği etkinleştirilmelidir.
✅ Kuruluşlar, güvenli olmayan AMI seçimini tespit etmek için otomatik tarama araçlarını benimsemelidir.