Команда дослідників з компанії DataDog виявила критичну вразливість в інфраструктурі Amazon Web Services (AWS), яка отримала назву WhoAMI. Ця вразливість дозволяє зловмисникам отримати несанкціонований доступ до облікових записів AWS через експлуатацію механізмів роботи з Amazon Machine Image (AMI).
Технічний аналіз вразливості WhoAMI
Вразливість, виявлена в серпні 2024 року, базується на атаці типу “name confusion”. Дослідники продемонстрували можливість виконання довільного коду в контексті цільового облікового запису AWS через маніпуляції з ідентифікаторами AMI. Amazon Machine Image є шаблонами віртуальних машин, які використовуються для розгортання серверів у хмарній інфраструктурі AWS EC2.
Передумови для успішної експлуатації
Для реалізації атаки необхідна наявність трьох ключових факторів:
- Відсутність явного зазначення власника AMI при пошуку образів
- Використання параметра most_recent=true в налаштуваннях
- Недостатня валідація джерела AMI-образу
Механізм проведення атаки
Зловмисник може опублікувати шкідливий AMI в публічному каталозі Community AMI, надавши йому назву, що імітує легітимний образ від довіреного постачальника. За відсутності належної перевірки власника AMI, система жертви може автоматично обрати шкідливий образ для розгортання, що призведе до компрометації інфраструктури.
Заходи безпеки та реакція Amazon
Amazon оперативно відреагувала на виявлену вразливість, випустивши патч у вересні 2024 року. Додатково, 1 грудня 2024 року було впроваджено новий механізм безпеки “Allowed AMIs”, який дозволяє створювати білі списки довірених постачальників AMI. Компанія підтвердила відсутність випадків експлуатації вразливості у реальних атаках.
Для захисту від подібних атак рекомендується обов’язково вказувати власника AMI при використанні API ec2:DescribeImages та активувати функцію Allowed AMIs. Організаціям також варто регулярно оновлювати програмний код та проводити аудит налаштувань безпеки хмарної інфраструктури. Впровадження цих заходів значно знизить ризики компрометації системи через вразливість WhoAMI та подібні вектори атак.
