WhoAMI-Angriff
Cybersicherheitsforscher haben einen neuartigen Angriff aufgedeckt, der zur Namensverwirrung führt und „whoAMI“ genannt wird. Dieser Angriff ermöglicht es Bedrohungsakteuren, Code in Amazon Web Services (AWS)-Konten auszuführen, indem sie ein Amazon Machine Image (AMI) mit einem bestimmten Namen veröffentlichen. Diese Sicherheitsanfälligkeit hat erhebliche Folgen, da sie unbefugten Zugriff auf Tausende von AWS-Konten ermöglichen könnte.
Inhaltsverzeichnis
Ausnutzen falsch konfigurierter AMI-Suchen
Der Kern dieses Angriffs besteht in einer Manipulationstaktik in der Lieferkette. Dabei wird ein bedrohliches AMI eingesetzt und falsch konfigurierte Software dazu gebracht, dieses anstelle der legitimen Version zu verwenden. Diese Schwachstelle ist sowohl in privaten als auch in Open-Source-Code-Repositories vorhanden und daher ein weit verbreitetes Problem.
So funktioniert der Angriff
AWS erlaubt es jedem, AMIs zu veröffentlichen. Dabei handelt es sich um virtuelle Maschinenabbilder, die zum Starten von Elastic Compute Cloud (EC2)-Instanzen verwendet werden. Der Angriff nutzt die Tatsache aus, dass Entwickler möglicherweise vergessen, das Attribut --owners anzugeben, wenn sie mit der API ec2:DescribeImages nach einem AMI suchen.
Damit dieser Angriff erfolgreich ist, müssen die folgenden Bedingungen erfüllt sein:
- Die AMI-Suche basiert auf einem Namensfilter.
- Die Suche gibt die Parameter „Eigentümer“, „Eigentümer-Alias“ oder „Eigentümer-ID“ nicht an.
- Die Anfrage ruft das zuletzt erstellte Bild ab (most_recent=true).
Wenn diese Bedingungen erfüllt sind, kann ein Angreifer ein betrügerisches AMI erstellen, dessen Name dem Suchmuster des Ziels entspricht. Daraufhin wird eine EC2-Instance mit dem kompromittierten AMI des Angreifers gestartet, die Remote Code Execution (RCE) ermöglicht und Aktivitäten nach dem Exploit ermöglicht.
Ähnlichkeiten mit Dependency Confusion Attacks
Dieser Angriff weist Ähnlichkeiten mit Abhängigkeitsverwirrungs-Exploits auf, bei denen unsichere Softwareabhängigkeiten (wie ein Pip-Paket) legitime ersetzen. Beim whoAMI-Angriff ist die kompromittierte Ressource jedoch ein virtuelles Maschinenabbild und keine Softwareabhängigkeit.
Amazons Reaktion und Sicherheitsmaßnahmen
Nach Bekanntwerden dieses Angriffs am 16. September 2024 reagierte Amazon umgehend und behob das Problem innerhalb von drei Tagen. Apple hat zudem eingeräumt, dass Kunden, die AMI-IDs über die ec2:DescribeImages-API abrufen, ohne einen Besitzerwert anzugeben, gefährdet sind.
Um dieser Bedrohung entgegenzuwirken, hat AWS im Dezember 2024 eine neue Sicherheitsfunktion namens „Allowed AMIs“ eingeführt. Diese kontoweite Einstellung ermöglicht es Benutzern, die Erkennung und Verwendung von AMIs innerhalb ihrer AWS-Konten einzuschränken und so die Angriffsfläche erheblich zu reduzieren. Sicherheitsexperten empfehlen AWS-Kunden, diese neue Kontrolle zu evaluieren und zu implementieren, um ihre Cloud-Umgebungen vor Angriffen durch Namensverwechslung zu schützen.