Istraživači iz oblasti cyber sigurnosti otkrili su novi tip napada baziranog na konfuziji imena, nazvan whoAMI, koji omogućava bilo kome ko objavi Amazon Machine Image (AMI) sa specifičnim imenom da dobije mogućnost izvršavanja koda unutar Amazon Web Services (AWS) računa.
“Ako bi se ovaj napad izveo u većem obimu, mogao bi omogućiti pristup hiljadama računa,” rekao je istraživač Datadog Security Labs-a, Seth Art, u izvještaju podijeljenom s The Hacker News-om. “Ovaj ranjivi oblik može se pronaći u mnogim privatnim i open-source kodnim repozitorijima.”
U svojoj suštini, ova tehnika je podskup napada na lanac snabdijevanja (supply chain attack), koji se oslanja na objavljivanje malicioznog resursa i manipulaciju neispravno konfigurisanog softvera da ga koristi umjesto legitimne verzije.
Napad iskorištava činjenicu da bilo ko može objaviti AMI, što je zapravo virtualna mašina koja se koristi za pokretanje Elastic Compute Cloud (EC2) instanci u AWS-u, u zajednički katalog. Takođe, oslanja se na mogućnost da developeri mogu izostaviti parametar “–owners” prilikom pretraživanja AMI-ja putem API-ja ec2:DescribeImages.
Drugim riječima, da bi napad uspio, moraju biti ispunjeni sljedeći uslovi kada žrtva preuzima AMI ID putem API-ja:
- Korištenje filtera za ime,
- Neuspjeh u navođenju parametara vlasnika (owner, owner-alias ili owner-id),
- Preuzimanja najnovije kreirane slike iz liste podudaraćih slika (“most_recent=true”).
Ovo dovodi do scenarija u kojem napadač može kreirati maliciozni AMI s imenom koje odgovara kriterijima pretrage, što rezultuje pokretanjem EC2 instance koristeći napadačev dvojnika AMI-ja.
Prema tome, napadač dobija mogućnost udaljenog izvršavanja koda (RCE) na instanci, omogućavajući mu pokretanje različitih post-eksploatacijskih akcija. Sve što napadaču treba jeste AWS račun kako bi objavio kompromitovani AMI u javni Community AMI katalog i odabrao ime koje odgovara AMI-jima koje traže ciljevi napada.
“Ovo je vrlo slično napadu zasnovanom na konfuziji zavisnosti (dependency confusion attack), s tom razlikom da je u drugom slučaju maliciozni resurs softverska zavisnost (npr. pip paket), dok je u whoAMI napadu to virtualna mašina,” objasnio je Art.
Datadog je otkrio da je otprilike 1% organizacija pod njihovim nadzorom pogođeno whoAMI napadom i da su pronađeni javni primjeri koda napisanog u Pythonu, Go-u, Javi, Terraformu, Pulumiju i Bash shellu koji koristi ranjive kriterije.
Nakon odgovornog otkrivanja ranjivosti 16. septembra 2024., Amazon je riješio problem tri dana kasnije. Kada je kontaktiran za komentar, AWS je za The Hacker News izjavio da nema dokaza da je tehnika iskorištena u stvarnom okruženju.
“Sve AWS usluge funkcionišu kako je predviđeno. Na osnovu detaljne analize logova i nadzora, naša istraga je potvrdila da je ovu tehniku koristio isključivo ovlašteni istraživač, bez dokaza o upotrebi od strane drugih hakera,” naveli su iz AWS-a.
“Ova tehnika može uticati na korisnike koji dohvataju Amazon Machine Image (AMI) ID-ove putem API-ja ec2:DescribeImages bez navođenja vrijednosti vlasnika. U decembru 2024. godine, uveli smo opciju Allowed AMIs, novu postavku na nivou računa koja omogućava korisnicima da ograniče otkrivanje i korištenje AMI-ja unutar svojih AWS računa. Preporučujemo korisnicima da procijene i implementiraju ovu novu sigurnosnu kontrolu.”
Od novembra prošle godine, HashiCorp Terraform je počeo prikazivati upozorenja korisnicima kada se “most_recent = true” koristi bez filtera vlasnika u verziji terraform-provider-aws 5.77.0. Očekuje se da će ovo upozorenje biti unaprijeđeno u grešku počevši od verzije 6.0.0.
Izvor:The Hacker News
