Исследователи компании DataDog раскрыли информацию о серьезной уязвимости в инфраструктуре Amazon Web Services (AWS), получившей название WhoAMI. Данная брешь в безопасности позволяла злоумышленникам получить несанкционированный доступ к учетным записям AWS путем эксплуатации механизма работы с Amazon Machine Image (AMI).
Механизм атаки и технические подробности
Уязвимость WhoAMI, обнаруженная в августе 2024 года, основана на типе атаки «name confusion». Эксперты продемонстрировали возможность выполнения произвольного кода в контексте целевой учетной записи AWS через манипуляции с идентификаторами AMI. Amazon Machine Image представляют собой предварительно настроенные виртуальные машины, используемые для развертывания серверов в облачной инфраструктуре AWS Elastic Compute Cloud (EC2).
Условия успешной эксплуатации
Атака становится возможной при следующих обстоятельствах:
- Отсутствие явного указания владельца AMI (owner) при поиске образов
- Использование параметра most_recent со значением true
- Недостаточная валидация источника AMI
Методология проведения атаки
Для проведения атаки злоумышленнику достаточно иметь базовую учетную запись AWS. Атакующий может опубликовать вредоносный AMI в публичном каталоге Community AMI, присвоив ему имя, имитирующее легитимный образ от доверенного поставщика. При отсутствии должной проверки владельца AMI, система жертвы может автоматически выбрать вредоносный образ для развертывания.
Реакция Amazon и меры защиты
Amazon оперативно отреагировала на обнаруженную уязвимость, выпустив исправление в сентябре 2024 года. Дополнительно, 1 декабря 2024 года был внедрен новый механизм безопасности «Allowed AMIs», позволяющий создавать белые списки доверенных поставщиков AMI. Компания подтвердила, что уязвимость не была использована злоумышленниками в реальных атаках, а была обнаружена только в ходе исследовательского тестирования.
Для защиты от подобных атак специалисты Amazon настоятельно рекомендуют всегда указывать владельца AMI при использовании API ec2:DescribeImages и активировать функцию Allowed AMIs. Организациям также следует регулярно обновлять свой код и проверять настройки безопасности в облачной инфраструктуре для минимизации рисков компрометации.
