新型 “whoAMI” 攻击利用AWS AMI 名称混淆实现远程代码执行
新型 “whoAMI” 攻击利用AWS AMI 名称混淆实现远程代码执行
THN 代码卫士 2025-02-17 17:50
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络安全研究人员披露了名称混淆攻击 “whoAMI”,它可使发布具有特定名称的亚马逊机器镜像 (AMI) 的任何人在AWS账户中获取代码执行权限。
Datadog Security Labs 公司的安全研究员 Seth Art 在一份报告中提到,“如被大规模执行,该攻击可用于访问数千个账户。该易受攻击的模式见于很多私密和开源代码仓库中。”
该技术的核心是供应链攻击,涉及发布恶意资源并诱骗配置不当的软件使用它。该攻击利用的第一个事实是任何人均可将用于引导 AWS 中 EC2 实例的虚拟机镜像上传到Community分类,而利用的第二个事实是开发人员通过ec2:DescribeImages API查找AMI时忘记提到 “—owners” 属性。
换句话说,该名称混淆攻击要求在受害者通过API检索AMI ID时,需要满足如下三个条件:
-
使用名称过滤器
-
未能识别owner、owner-alias或owner-id 参数;
-
从返回的匹配镜像清单中提取最近创建的镜像 (“most_recent=true”)。
这就导致攻击者能够以匹配搜索标准中制定的模式的恶意AMI,导致通过威胁行动者的极其相似的 AMI 创建EC2实例,从而获得实例的RCE能力,初始化利用后的操作。而攻击者需要做的就是通过一个AWS账户在公开的Community AMI 分类中发布安装后门的AMI并选择目标所寻找的匹配AMI的名称。Art 提到,“它与以来混淆攻击非常类似,不过在依赖混淆攻击中,恶意资源是一个软件依赖(如pip包),而在 whoAMI 名称混淆攻击中,该恶意资源是一个虚拟机镜像。”
Datadog 提到,该公司所监控的约1%的组织机构受 whoAMI 攻击影响,并发现了用Python、Go、Java、Terraform、Pulumi 和 Bash shell 使用易受攻击标准编写的代码公开示例。
研究人员在2024年9月16日将该漏洞告知亚马逊公司,后者在三天后将其修复。亚马逊公司表示目前尚未发现该技术遭在野利用的迹象。该公司提到,“所有的AWS服务都按设计运行。从扩展的日志分析和监控中发现,该技术仅由授权研究人员自身执行,并非发现遭其他方利用的迹象。该技术可影响通过 ec2:DescribeImages API 检索而未制定owner值的AMI ID。2024年12月,我们引入了‘Allowed AMIs’,它是账户范围内的设置,可使客户在自己的AWS账户中限制AMIs的发现和使用。我们建议客户评估并执行这一新兴安全控制。”
截止到去年11月,HashiCorp Terraform 在用户使用 “most_recent = true” 而terraform-provider aws 5.77.0中不存在owner 过滤器时,发出告警。该告警有望在6.0.0版本升级为出错提醒。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
什么鬼?我能通过依赖混淆攻击在 Halo 游戏服务器中执行命令,微软不 care?!
原文链接
https://thehackernews.com/2025/02/new-whoami-attack-exploits-aws-ami-name.html
题图:
Pixabay
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~