HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一种新型名称混淆攻击“whoAMI”,该攻击允许任何发布具有特定名称的亚马逊机器镜像(AMI)的人在亚马逊网络服务(AWS)账户内获得代码执行权限。
Datadog安全实验室研究员Seth Art在一份与《黑客新闻》共享的报告中表示:“如果大规模执行,这种攻击可以用于获取数千个账户的访问权限。这种易受攻击的模式可以在许多私有和开源代码仓库中找到。”
这种攻击本质上是一种供应链攻击,通过发布恶意资源并诱骗配置错误的软件使用它而不是合法的对应资源来实现。
攻击利用了任何人都可以将AMI(用于在AWS中启动弹性计算云EC2实例的虚拟机镜像)发布到社区目录这一事实,以及开发人员在通过ec2:DescribeImages API搜索时可能省略“–owners”属性的情况。
具体来说,当受害者通过API检索AMI ID时,名称混淆攻击需要满足以下三个条件:
- 使用名称过滤器,未指定所有者、所有者别名或所有者ID参数,从返回的匹配镜像列表中获取最新创建的镜像(“most_recent=true”)。
这使得攻击者可以创建一个与搜索条件中指定的模式匹配的恶意AMI,从而导致使用威胁行为者的“替身”AMI创建EC2实例。反过来,这授予了对实例的远程代码执行(RCE)能力,允许威胁行为者发起各种后续利用行动。
攻击者只需要一个AWS账户,就可以将他们的后门AMI发布到公共社区AMI目录,并选择一个与目标所寻求的AMI匹配的名称。
“这与依赖混淆攻击非常相似,只是在后者中,恶意资源是一个软件依赖项(如pip包),而在whoAMI名称混淆攻击中,恶意资源是一个虚拟机镜像,”Art说。
Datadog表示,该公司监控的大约1%的组织受到了whoAMI攻击的影响,并且发现了使用易受攻击标准编写的Python、Go、Java、Terraform、Pulumi和Bash shell的公开代码示例。
在2024年9月16日负责任地披露后,亚马逊在三天后解决了这个问题。当被要求置评时,AWS告诉《黑客新闻》,它没有发现任何证据表明这种技术在野外被滥用。
“所有AWS服务都按设计运行。根据广泛的日志分析和监控,我们的调查确认,这项研究中描述的技术仅由授权研究人员执行,没有证据表明任何其他方使用了它,”该公司表示。
“这种技术可能会影响通过ec2:DescribeImages API检索亚马逊机器镜像(AMI)ID但未指定所有者值的客户。2024年12月,我们推出了Allowed AMIs,这是一种新的账户范围设置,使客户能够限制在其AWS账户内发现和使用AMI。我们建议客户评估并实施这一新的安全控制措施。”
截至去年11月,HashiCorp Terraform已开始在terraform-provider-aws版本5.77.0中使用“most_recent = true”但未使用所有者过滤器时向用户发出警告。预计该警告诊断将在版本6.0.0中升级为错误。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
