新的whoAMI攻击利用 AWS AMI 名称混淆进行远程代码执行

admin 2025年2月17日13:00:28评论15 views字数 1451阅读4分50秒阅读模式

导 

网络安全研究人员披露了一种名为 whoAMI 的新型名称混淆攻击,这种攻击允许任何发布具有特定名称的亚马逊系统映像 ( AMI ) 的人在亚马逊网络服务 (AWS) 账户内执行代码。

Datadog 安全实验室研究员 Seth Art 在一份报告中表示: “如果大规模实施,这种攻击可用于访问数千个账户。这种易受攻击的模式可以在许多私人和开源代码存储库中找到。”

从本质上讲,这次攻击是供应链攻击的一个子集,涉及发布恶意资源并诱骗配置错误的软件使用该资源而不是合法资源。

此次攻击利用了这样一个事实:任何人都可以将 AMI(用于启动 AWS 中的弹性计算云 (EC2) 实例的虚拟机映像)放入社区目录,并且开发人员在通过 ec2:DescribeImages API搜索时可以忽略“--owners”属性。

换句话说,名称混淆攻击需要受害者通过 API 检索 AMI ID 时满足以下三个条件:

  • 使用名称过滤器;
  • 未能指定所有者、所有者别名或所有者 ID 参数;
  • 从返回的匹配图像列表中获取最近创建的图像(“most_recent=true”)

这导致一种情况,攻击者可以创建一个名称与搜索条件中指定的模式匹配的恶意 AMI,从而使用攻击者的替身 AMI 创建 EC2 实例。

这反过来又授予了实例远程代码执行 (RCE) 功能,允许攻击者启动各种后利用行动。

新的whoAMI攻击利用 AWS AMI 名称混淆进行远程代码执行

攻击者所需要的只是一个 AWS 账户,将其后门 AMI 发布到公共社区 AMI 目录,并选择一个与其目标寻求的 AMI 相匹配的名称。

Art 说:“它与依赖混淆攻击非常相似,只不过在后者中,恶意资源是软件依赖项(例如 pip 包),而在 whoAMI 名称混淆攻击中,恶意资源是虚拟机映像。”

Datadog 表示,该公司监控的组织中约有 1% 受到了 whoAMI 攻击的影响,并且发现了使用易受攻击的标准用 Python、Go、Java、Terraform、Pulumi 和 Bash shell 编写的公开代码示例。

在 2024 年 9 月 16 日负责任地披露该问题后,亚马逊在三天后解决了该问题。AWS 告诉 The Hacker News,它没有发现任何证据表明该技术在野外被滥用。

“所有 AWS 服务均按设计运行。基于广泛的日志分析和监控,我们的调查证实,本研究中描述的技术仅由授权研究人员自己执行,没有任何其他方使用的证据。”该公司表示。

“这种技术可能会影响通过 ec2:DescribeImages API 检索 Amazon 系统映像 (AMI) ID 而不指定所有者值的客户。2024 年 12 月,我们推出了允许的 AMI,这是一种新的账户范围设置,使客户能够限制其 AWS 账户内 AMI 的发现和使用。我们建议客户评估并实施这一新的安全控制。”

自去年 11 月起,HashiCorp Terraform 已开始在 terraform-provider-aws版本 5.77.0中使用“most_recent = true”且未使用所有者过滤器时向用户发出警告。预计警告诊断将升级为有效版本 6.0.0 中的错误。

技术报告:

https://securitylabs.datadoghq.com/articles/whoami-a-cloud-image-name-confusion-attack/

新闻链接:

https://thehackernews.com/2025/02/new-whoami-attack-exploits-aws-ami-name.html

新的whoAMI攻击利用 AWS AMI 名称混淆进行远程代码执行

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):新的“whoAMI”攻击利用 AWS AMI 名称混淆进行远程代码执行

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月17日13:00:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的whoAMI攻击利用 AWS AMI 名称混淆进行远程代码执行http://cn-sec.com/archives/3749799.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息