Критична вразливість WhoAMI в AWS: новий вектор атаки на хмарну інфраструктуру

Команда дослідників з компанії DataDog виявила критичну вразливість в інфраструктурі Amazon Web Services (AWS), яка отримала назву WhoAMI. Ця вразливість дозволяє зловмисникам отримати несанкціонований доступ до облікових записів AWS через експлуатацію механізмів роботи з Amazon Machine Image (AMI).

Технічний аналіз вразливості WhoAMI

Вразливість, виявлена в серпні 2024 року, базується на атаці типу “name confusion”. Дослідники продемонстрували можливість виконання довільного коду в контексті цільового облікового запису AWS через маніпуляції з ідентифікаторами AMI. Amazon Machine Image є шаблонами віртуальних машин, які використовуються для розгортання серверів у хмарній інфраструктурі AWS EC2.

Передумови для успішної експлуатації

Для реалізації атаки необхідна наявність трьох ключових факторів:

Відсутність явного зазначення власника AMI при пошуку образів
Використання параметра most_recent=true в налаштуваннях
Недостатня валідація джерела AMI-образу

Механізм проведення атаки

Зловмисник може опублікувати шкідливий AMI в публічному каталозі Community AMI, надавши йому назву, що імітує легітимний образ від довіреного постачальника. За відсутності належної перевірки власника AMI, система жертви може автоматично обрати шкідливий образ для розгортання, що призведе до компрометації інфраструктури.

Заходи безпеки та реакція Amazon

Amazon оперативно відреагувала на виявлену вразливість, випустивши патч у вересні 2024 року. Додатково, 1 грудня 2024 року було впроваджено новий механізм безпеки “Allowed AMIs”, який дозволяє створювати білі списки довірених постачальників AMI. Компанія підтвердила відсутність випадків експлуатації вразливості у реальних атаках.

Для захисту від подібних атак рекомендується обов’язково вказувати власника AMI при використанні API ec2:DescribeImages та активувати функцію Allowed AMIs. Організаціям також варто регулярно оновлювати програмний код та проводити аудит налаштувань безпеки хмарної інфраструктури. Впровадження цих заходів значно знизить ризики компрометації системи через вразливість WhoAMI та подібні вектори атак.

Технічний аналіз вразливості WhoAMI

Передумови для успішної експлуатації

Механізм проведення атаки

Заходи безпеки та реакція Amazon

CyberSecureFox Editorial Team

Leave a Comment Cancel reply

Новини кібербезпеки

CISA включила в KEV активно експлуатовані вразливості Langflow та Trend Micro Apex One

Новини кібербезпеки

Як дві нові вразливості в Microsoft Defender дають SYSTEM-доступ

Новини кібербезпеки

Як Microsoft RAMPART та Clarity вбудовують безпеку в розробку ІІ‑агентів

Новини кібербезпеки

Як невидимі облікові записи та осиротілі акаунти загрожують агентному ШІ

Новини кібербезпеки

Mozilla виступає проти заборони VPN для дітей у Великій Британії

Новини кібербезпеки

Операція Trapdoor: Android-додатки як конвеєр рекламного шахрайства

Виявлено небезпечну вразливість WhoAMI в Amazon Web Services

Технічний аналіз вразливості WhoAMI

Передумови для успішної експлуатації

Механізм проведення атаки

Заходи безпеки та реакція Amazon

CyberSecureFox Editorial Team

Leave a Comment Cancel reply

Найбільш популярні

Новини кібербезпеки

CISA включила в KEV активно експлуатовані вразливості Langflow та Trend Micro Apex One

Новини кібербезпеки

Як дві нові вразливості в Microsoft Defender дають SYSTEM-доступ

Новини кібербезпеки

Як Microsoft RAMPART та Clarity вбудовують безпеку в розробку ІІ‑агентів

Новини кібербезпеки

Як невидимі облікові записи та осиротілі акаунти загрожують агентному ШІ

Новини кібербезпеки

Mozilla виступає проти заборони VPN для дітей у Великій Британії

Новини кібербезпеки

Операція Trapdoor: Android-додатки як конвеєр рекламного шахрайства

CyberSecureFox