网络安全研究人员披露了一种名为whoAMI的新型名称混淆攻击,这种攻击允许任何以特定名称发布亚马逊机器映像(AMI)的人在亚马逊网络服务(AWS)账户中获得代码执行权。
"Datadog 安全实验室研究员塞思-阿特(Seth Art)在与《黑客新闻》分享的一份报告中说:"如果大规模执行,这种攻击可用于访问数千个账户。"在许多私人和开放源代码库中都能找到易受攻击的模式。
该攻击的核心是供应链攻击的一个子集,涉及发布恶意资源,诱使配置错误的软件使用该恶意资源,而不是使用合法的对应资源。
这种攻击利用了这样一个事实:任何人都可以将 AMI(指用于启动 AWS 中弹性计算云(EC2)实例的虚拟机映像)添加到社区目录,而且开发人员在通过 ec2:DescribeImages API 搜索 AMI 时可能会忽略"--所有者 "属性。
换句话说,当受害者通过 API 检索 AMI ID 时,名称混淆攻击需要满足以下三个条件--
使用名称过滤器;
未指定所有者、所有者别名或所有者 ID 参数;
从返回的匹配图像列表中获取最近创建的图像("most_recent=true")。
这就导致了这样一种情况:攻击者可以创建名称与搜索条件中指定的模式相匹配的恶意 AMI,从而使用威胁者的二重身份 AMI 创建 EC2 实例。
这反过来又会在实例上授予远程代码执行 (RCE) 功能,使威胁行为者能够启动各种后剥削操作。
攻击者只需要一个 AWS 账号,就可以将其背道而驰的 AMI 发布到公共社区 AMI 目录中,并选择一个与目标所寻求的 AMI 相匹配的名称。
"Art说:"这与依赖关系混淆攻击非常相似,只不过在后者中,恶意资源是软件依赖关系(如pip包),而在whoAMI名称混淆攻击中,恶意资源是虚拟机镜像。
Datadog称,在该公司监测的组织中,约有1%受到whoAMI攻击的影响,它还发现了用Python、Go、Java、Terraform、Pulumi和Bash shell编写的代码使用易受攻击标准的公开示例。
继 2024 年 9 月 16 日负责任地披露之后,亚马逊在三天后解决了这一问题。AWS 在接受《黑客新闻》采访时表示,没有发现任何证据表明该技术在野外被滥用。
"所有 AWS 服务均按设计运行。基于广泛的日志分析和监控,我们的调查证实,这项研究中描述的技术仅由授权研究人员自己执行,没有任何其他方使用的证据,"该公司说。
"这种技术可能会影响那些通过 ec2:DescribeImages API 检索亚马逊机器映像 (AMI) ID 而未指定所有者值的客户。2024 年 12 月,我们推出了允许 AMI,这是一个新的账户范围设置,使客户能够限制在其 AWS 账户中发现和使用 AMI。我们建议客户评估并实施这一新的安全控制。"
从去年11月开始,当terraform-provider-aws 5.77.0版本在没有所有者过滤器的情况下使用 "most_recent = true "时,HashiCorp Terraform已经开始向用户发出警告。预计该警告诊断将在 6.0.0 版本中升级为错误。
信息来源:https://thehackernews.com/2025/02/new-whoami-attack-exploits-aws-ami-name.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局