Siber güvenlik araştırmacıları, Amazon Web Hizmetleri (AWS) hesabında kod yürütme kazanması için belirli bir adla Amazon Makinesi Görüntüsü (AMI) yayınlayan herkese izin veren Whoami adlı yeni bir isim karışıklık saldırısı türü açıkladılar.
Hacker News ile paylaşılan bir raporda Datadog Güvenlik Laboratuarları araştırmacısı Seth Art, “Ölçekte yürütülürse, bu saldırı binlerce hesaba erişmek için kullanılabilir.” Dedi. “Savunmasız desen birçok özel ve açık kaynak kod deposunda bulunabilir.”
Saldırı, kalbinde, kötü niyetli bir kaynak yayınlamayı ve yanlış yapılandırılmış yazılımı meşru muadil yerine kullanmaya yönlendiren bir tedarik zinciri saldırısının bir alt kümesidir.
Saldırı, AWS’deki elastik hesaplama bulutu (EC2) örneklerini topluluk kataloğuna önyüklemek için kullanılan sanal bir makine görüntüsüne atıfta bulunan herkesin AMI ve geliştiricilerin “-sahiplerinden bahsetmeleri gerçeğinden yararlanabileceği gerçeğinden yararlanıyor. “EC2 üzerinden bir tane ararken öznitelik: DeenIMage API.
Farklı bir şekilde, kafa karışıklığı saldırısı, bir kurban AMI kimliğini API aracılığıyla geri aldığında, aşağıdaki üç koşulun karşılanmasını gerektirir –
- İsim filtresinin kullanımı,
- Sahibi, sahibi-Alias veya sahip-ID parametrelerini belirtememe,
- Eşleşen görüntülerin iade edilen listesinden en yakın zamanda oluşturulan görüntüyü getirme (“Most_recent = true”)
Bu, bir saldırganın arama kriterlerinde belirtilen desenle eşleşen bir adla kötü amaçlı bir AMI oluşturabileceği ve tehdit oyuncusu Doppelgänger Ami’yi kullanarak bir EC2 örneğinin oluşturulmasına neden olabileceği bir senaryoya yol açar.
Bu da, örneğe uzaktan kod yürütme (RCE) yetenekleri verir ve tehdit aktörlerinin çeşitli azaltma sonrası eylemleri başlatmasına izin verir.
https://www.youtube.com/watch?v=l-wexfjd-bo
Tüm bir saldırganın ihtiyaçları, geri çekilen AMI’lerini kamu topluluğu AMI kataloğuna yayınlamak ve hedefleri tarafından aranan AMI’lerle eşleşen bir isim tercih etmek için bir AWS hesabıdır.
“Bir bağımlılık karışıklığı saldırısına çok benzer, ancak ikincisinde kötü amaçlı kaynak bir yazılım bağımlılığı (bir pip paketi gibi), Whoami Name Confusion Saldırısı’nda kötü amaçlı kaynak sanal bir makine görüntüsüdür,” Dedi sanat.
Datadog, şirket tarafından izlenen kuruluşların yaklaşık% 1’inin Whoami saldırısından etkilendiğini ve savunmasız kriterleri kullanarak Python, Go, Java, Terraform, Pulumi ve Bash Shell’de yazılmış kod örneklerini bulduğunu söyledi.
16 Eylül 2024’teki sorumlu açıklamanın ardından, sorun üç gün sonra Amazon tarafından ele alındı. Yorum için ulaşıldığında AWS, Hacker News’e, tekniğin vahşi doğada istismar edildiğine dair herhangi bir kanıt bulamadığını söyledi.
Şirket, “Tüm AWS hizmetleri tasarlandığı gibi çalışıyor. Kapsamlı günlük analizine ve izlemeye dayanarak, araştırmamız bu araştırmada açıklanan tekniğin yalnızca yetkili araştırmacılar tarafından yürütüldüğünü doğruladı,” söz konusu.
“Bu teknik, Amazon Machine Image (AMI) ID’lerini EC2 üzerinden alan müşterileri etkileyebilir: Aralık 2024’te, müşterilerin keşfi sınırlamasını sağlayan yeni bir hesap çapında ayar olan AMIS’i tanıttık. AMI’lerin AWS hesaplarında kullanılması.
Geçen Kasım ayından itibaren Hashicorp Terraform, “Most_Recent = true” Terrafform-Provider-AWS sürüm 5.77.0’da bir sahip filtresi olmadan kullanıldığında kullanıcılara uyarılar vermeye başladı. Uyarı tanısının etkili bir sürüm 6.0.0’a yükseltilmesi beklenir.