Sicherheitsforscher von DataDog haben eine schwerwiegende Sicherheitslücke in der Amazon Web Services (AWS) Infrastruktur aufgedeckt. Die als „WhoAMI“ bezeichnete Schwachstelle ermöglicht Angreifern durch die Manipulation von Amazon Machine Images (AMI) potenziell unauthorisierten Zugriff auf AWS-Konten.
Technische Details der WhoAMI-Schwachstelle
Die im August 2024 entdeckte Sicherheitslücke basiert auf einem „Name Confusion“-Angriff und erlaubt die Ausführung beliebigen Codes im Kontext des Ziel-AWS-Kontos. Amazon Machine Images, die als vorkonfigurierte virtuelle Maschinen für AWS Elastic Compute Cloud (EC2) dienen, stehen im Zentrum dieser Schwachstelle.
Voraussetzungen für erfolgreiche Angriffe
Ein erfolgreicher Angriff wird durch folgende Faktoren begünstigt:
- Fehlende explizite AMI-Owner-Spezifikation bei der Image-Suche
- Aktivierung des Parameters „most_recent=true“
- Unzureichende Validierung der AMI-Quelle
Angriffsszenario und Auswirkungen
Bereits mit einem einfachen AWS-Konto können Angreifer schadhaften Code in öffentliche AMIs einschleusen. Durch geschickte Namensgebung, die vertrauenswürdige Images imitiert, können diese manipulierten AMIs von Zielsystemen automatisch ausgewählt und deployed werden, wenn keine ausreichenden Sicherheitsüberprüfungen implementiert sind.
Sicherheitsmaßnahmen und Reaktion von Amazon
Amazon reagierte prompt mit einem Sicherheitsupdate im September 2024. Am 1. Dezember 2024 wurde zusätzlich der „Allowed AMIs“-Mechanismus eingeführt, der die Definition von Whitelists für vertrauenswürdige AMI-Anbieter ermöglicht. Nach Angaben von Amazon wurde die Schwachstelle vor ihrer Behebung nicht aktiv ausgenutzt.
Für einen effektiven Schutz vor WhoAMI-basierten Angriffen empfehlen Sicherheitsexperten dringend die explizite Angabe des AMI-Eigentümers bei Verwendung der ec2:DescribeImages API sowie die Aktivierung der „Allowed AMIs“-Funktion. Regelmäßige Sicherheitsaudits und Updates der Cloud-Infrastruktur sind essentiell, um das Risiko von Kompromittierungen zu minimieren. Organisationen sollten ihre AWS-Konfigurationen umgehend überprüfen und die empfohlenen Sicherheitsmaßnahmen implementieren.
