I ricercatori di Cybersecurity hanno rivelato un nuovo tipo di attacco di confusione Nome chiamato Whoami che consente a chiunque pubblica un’immagine di Amazon Machine (Ami) con un nome specifico per ottenere l’esecuzione del codice nell’ambito dell’account Amazon Net Providers (AWS).
“Se eseguito su scala, questo attacco potrebbe essere utilizzato per accedere a migliaia di account”, Seth Artwork, ricercatore di Datadog Safety Labs disse In un rapporto condiviso con le notizie di Hacker. “Il modello vulnerabile può essere trovato in molti repository di codice privato e open supply.”
Al suo cuore, l’attacco è un sottoinsieme di un attacco della catena di approvvigionamento che prevede la pubblicazione di una risorsa dannosa e il ingresso di software program maledettamente figurato nell’utilizzarlo anziché la controparte legittima.
L’attacco sfrutta il fatto che chiunque possa ami, che si riferisce a un’immagine della macchina virtuale che viene utilizzata per avviare le istanze di Cloud elastica (EC2) in AWS, al catalogo della comunità e al fatto che gli sviluppatori potrebbero omettere per menzionare le “-proprietaria “Attributo quando Ricerca Per uno tramite l’API EC2: DescriveMages.
In diversa, il nome di confusione è necessario soddisfare le tre condizioni al di sotto di quando una vittima recupera l’ID AMI attraverso l’API –
- Uso del filtro Nome,
- Una mancata specifica dei parametri del proprietario, del proprietario-alias o del proprietario-ID,
- Prendere l’immagine più creata di recente dall’elenco restituito delle immagini corrispondenti (“MOST_RECENT = TRUE”)
Ciò porta a uno situation in cui un aggressore può creare un AMI dannoso con un nome che corrisponde al modello specificato nei criteri di ricerca, risultando nella creazione di un’istanza EC2 usando il doppelgänger AMI dell’attore minaccia.
Ciò, a sua volta, garantisce funzionalità di esecuzione del codice remoto (RCE) sull’istanza, consentendo agli attori delle minacce di avviare varie azioni post-sfruttamento.
https://www.youtube.com/watch?v=l-wexfjd-bo
Tutto ciò che un aggressore ha bisogno è un account AWS per pubblicare il loro AMI backdoored al catalogo AMI della comunità pubblica e optare per un nome che corrisponde alle AMI ricercate dai loro obiettivi.
“È molto simile a a Attacco di confusione della dipendenzatranne per il fatto che in quest’ultima, la risorsa dannosa è una dipendenza dal software program (come un pacchetto PIP), mentre nel nome di confusione del nome Whoami, la risorsa dannosa è un’immagine della macchina virtuale “, ha detto Artwork.
Datadog ha affermato che circa l’1% delle organizzazioni monitorate dalla società è stata colpita dall’attacco Whoami e che ha trovato esempi pubblici di codice scritti in Python, Go, Java, Terraform, Pulumi e Bash Shell usando i criteri vulnerabili.
A seguito di una divulgazione responsabile del 16 settembre 2024, il problema è stato affrontato da Amazon tre giorni dopo. Quando è stato raggiunto per un commento, AWS ha detto a The Hacker Information che non ha trovato alcuna prova che la tecnica fosse stata abusata in natura.
“Tutti i servizi AWS sono operativi come previsti. Sulla base di ampie analisi e monitoraggio dei registri, la nostra indagine ha confermato che la tecnica descritta in questa ricerca è stata eseguita solo dagli stessi ricercatori autorizzati, senza show di utilizzo da parte di altre parti”, la società ” disse.
“Questa tecnica potrebbe influire sui clienti che recuperano IDS Amazon Machine Picture (AMI) tramite l’EC2: DescriveMages API senza specificare il valore del proprietario. Nel dicembre 2024, abbiamo introdotto amis consentito, un nuovo Impostazione a livello di account Ciò consente ai clienti di limitare la scoperta e l’uso di AMIS nei loro account AWS. Raccomandiamo ai clienti di valutare e implementarlo nuovo controllo di sicurezza. “
A partire da novembre lo scorso novembre, Hashicorp Terraform ha iniziato a emettere avvertimenti agli utenti quando “Most_recent = true” viene utilizzato senza un filtro del proprietario in Terraform-Supplier-AWS Versione 5.77.0. La diagnostica di avvertimento è previsto per essere aggiornato a un errore efficace versione 6.0.0.
