聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Datadog Security Labs 公司的安全研究员 Seth Art 在一份报告中提到,“如被大规模执行,该攻击可用于访问数千个账户。该易受攻击的模式见于很多私密和开源代码仓库中。”
该技术的核心是供应链攻击,涉及发布恶意资源并诱骗配置不当的软件使用它。该攻击利用的第一个事实是任何人均可将用于引导 AWS 中 EC2 实例的虚拟机镜像上传到Community分类,而利用的第二个事实是开发人员通过ec2:DescribeImages API查找AMI时忘记提到 “—owners” 属性。
换句话说,该名称混淆攻击要求在受害者通过API检索AMI ID时,需要满足如下三个条件:
-
使用名称过滤器
-
未能识别owner、owner-alias或owner-id 参数;
-
从返回的匹配镜像清单中提取最近创建的镜像 (“most_recent=true”)。
这就导致攻击者能够以匹配搜索标准中制定的模式的恶意AMI,导致通过威胁行动者的极其相似的 AMI 创建EC2实例,从而获得实例的RCE能力,初始化利用后的操作。而攻击者需要做的就是通过一个AWS账户在公开的Community AMI 分类中发布安装后门的AMI并选择目标所寻找的匹配AMI的名称。Art 提到,“它与以来混淆攻击非常类似,不过在依赖混淆攻击中,恶意资源是一个软件依赖(如pip包),而在 whoAMI 名称混淆攻击中,该恶意资源是一个虚拟机镜像。”
Datadog 提到,该公司所监控的约1%的组织机构受 whoAMI 攻击影响,并发现了用Python、Go、Java、Terraform、Pulumi 和 Bash shell 使用易受攻击标准编写的代码公开示例。
研究人员在2024年9月16日将该漏洞告知亚马逊公司,后者在三天后将其修复。亚马逊公司表示目前尚未发现该技术遭在野利用的迹象。该公司提到,“所有的AWS服务都按设计运行。从扩展的日志分析和监控中发现,该技术仅由授权研究人员自身执行,并非发现遭其他方利用的迹象。该技术可影响通过 ec2:DescribeImages API 检索而未制定owner值的AMI ID。2024年12月,我们引入了‘Allowed AMIs’,它是账户范围内的设置,可使客户在自己的AWS账户中限制AMIs的发现和使用。我们建议客户评估并执行这一新兴安全控制。”
截止到去年11月,HashiCorp Terraform 在用户使用 “most_recent = true” 而terraform-provider aws 5.77.0中不存在owner 过滤器时,发出告警。该告警有望在6.0.0版本升级为出错提醒。
原文始发于微信公众号(代码卫士):新型 “whoAMI” 攻击利用AWS AMI 名称混淆实现远程代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论