Cuộc tấn công whoAMI
Cuộc tấn công whoAMI, được phát triển bởi các nhà nghiên cứu của DataDog vào tháng 8 năm 2024, khai thác các cấu hình sai của AWS để đạt được việc thực thi mã trong các tài khoản AWS. Cuộc tấn công này lợi dụng sự nhầm lẫn tên AMI để lừa các môi trường AWS chọn một AMI độc hại thay vì một AMI đáng tin cậy.
Cách thức cuộc tấn công hoạt động
- Tạo một AMI độc hại: Kẻ tấn công tạo một AMI công khai có tên tương tự như một tài nguyên đáng tin cậy.
- Lừa AWS: Nếu hệ thống của một tổ chức lấy AMIs bằng cách sử dụng ký tự đại diện hoặc lọc không đúng cách, nó có thể vô tình khởi động một phiên bản EC2 sử dụng AMI đã bị cài đặt mã độc của kẻ tấn công.
- Không cần xâm nhập tài khoản: Không giống như các vụ chiếm đoạt tài khoản AWS truyền thống, cuộc tấn công này không cần xâm nhập vào tài khoản của nạn nhân. Kẻ tấn công chỉ chờ đợi cho các hệ thống dễ bị tổn thương tự động tải và triển khai AMI độc hại.
Phản ứng và biện pháp giảm thiểu của AWS
- Điểm yếu nội bộ của AWS: Sau khi được DataDog thông báo, Amazon xác nhận rằng một số hệ thống nội bộ không phải sản xuất của họ đã bị dễ bị tổn thương trước các cuộc tấn công whoAMI.
- Khắc phục và Tính năng bảo mật mới: AWS đã phát hành một bản sửa lỗi vào ngày 19 tháng 9 năm 2024, tiếp theo đó là một tính năng bảo mật mới có tên “Allowed AMIs” vào tháng 12. Tính năng này cho phép khách hàng tạo một danh sách trắng các nhà cung cấp AMI đáng tin cậy, ngăn chặn việc chọn AMI không được phép.
Tóm tắt
Cuộc tấn công whoAMI là một phương pháp tinh vi để khai thác các cấu hình sai của AWS nhằm đạt được việc thực thi mã trong các tài khoản AWS. Nó lợi dụng sự nhầm lẫn tên AMI và phụ thuộc vào việc lọc không đúng cách hoặc sử dụng ký tự đại diện trong quá trình chọn AMI. AWS đã thực hiện các bước để giảm thiểu lỗ hổng này, bao gồm phát hành bản sửa lỗi và giới thiệu một tính năng bảo mật mới để bảo vệ chống lại các cuộc tấn công như vậy.
