Los investigadores de seguridad cibernética han revelado un nuevo tipo de ataque de confusión de nombre llamado Whoami que permite a cualquiera que publique una imagen de Amazon Machine (AMI) con un nombre específico para obtener la ejecución de código en el interior de la cuenta de Amazon Web Services (AWS).
“Si se ejecuta a escalera, este ataque podría estilarse para obtener comunicación a miles de cuentas”, dijo el investigador de los Laboratorios de Seguridad de Datadog, Seth Art, en un referencia compartido con Hacker News. “El patrón débil se puede encontrar en muchos repositorios de código de código fuente privado y franco”.
En el fondo, el ataque es un subconjunto de un ataque de la cautiverio de suministro que implica transmitir un petición ladino y engañar al software mal configurado para usarlo en emplazamiento de la contraparte legítima.
El ataque explota el hecho de que cualquiera puede ami, lo que se refiere a una imagen de máquina posible que se usa para iniciar instancias de la nubarrón de enumeración elástica (EC2) en AWS, al catálogo de la comunidad y al hecho de que los desarrolladores podrían suprimir para mencionar los “propietarios “Atributo al inquirir uno a través del EC2: Describa la API de IMPRESA.
Dicho de guisa diferente, el ataque de confusión del nombre requiere que se cumplan las siguientes tres condiciones cuando una víctima recupera la ID de AMI a través de la API –
- Uso del filtro de nombre,
- No especificar el propietario, el propietario-alias o los parámetros del propietario-id,
- Obtener la mayoría de la imagen recientemente creada en la letanía de imágenes coincidentes devueltas (“Most_recent = True”)
Esto lleva a un círculo en el que un atacante puede crear un AMI ladino con un nombre que coincida con el patrón especificado en los criterios de búsqueda, lo que resulta en la creación de una instancia de EC2 utilizando la amenaza del actor Doppelgänger AMI.
Esto, a su vez, otorga capacidades de ejecución de código remoto (RCE) en la instancia, lo que permite a los actores de amenaza iniciar varias acciones posteriores a la explotación.
https://www.youtube.com/watch?v=l-wexfjd-bo
Todo lo que un atacante necesita es una cuenta de AWS para transmitir su AMI trasero al catálogo de la comunidad pública de AMI y optar por un nombre que coincida con los amis buscados por sus objetivos.
“Es muy similar a un ataque de confusión de dependencia, excepto que en este extremo, el petición ladino es una dependencia de software (como un paquete PIP), mientras que en el Ataque de confusión de Whoami Name, el petición ladino es una imagen de la máquina posible”, “, Dijo Art.
Datadog dijo que aproximadamente el 1% de las organizaciones monitoreadas por la compañía se vieron afectadas por el ataque Whoami, y que encontró ejemplos públicos de código escritos en Python, Go, Java, Terraform, Pulumi y Bash Shell utilizando los criterios vulnerables.
A posteriori de la divulgación responsable el 16 de septiembre de 2024, Amazon abordó el problema tres días luego. Cuando se le contactó para hacer comentarios, AWS le dijo a Hacker News que no encontró ninguna evidencia de que la técnica fuera abusada en la naturaleza.
“Todos los servicios de AWS están funcionando según lo diseñado. Basado en un amplio estudio y monitoreo de registros, nuestra investigación confirmó que la técnica descrita en esta investigación solo ha sido ejecutada por los propios investigadores autorizados, sin evidencia de uso por parte de ninguna otra parte”, la compañía dicho.
“Esta técnica podría afectar a los clientes que recuperan ID de imagen de Amazon Machine (AMI) a través del EC2: Describa la API de IMPRESIONA sin especificar el valía del propietario. En diciembre de 2024, introdujimos AMIS permitido, una nueva configuración de toda la cuenta que permite a los clientes confinar el descubrimiento y el descubrimiento y Uso de AMIS en el interior de sus cuentas de AWS.
A partir de noviembre pasado, Hashicorp Terraform ha comenzado a emitir advertencias a los usuarios cuando “Most_recent = True” se usa sin un filtro de propietario en la traducción 5.77.0 de Terraform-AWS. Se demora que el dictamen de advertencia se actualice a un error efectivo de la traducción 6.0.0.
