Attaque whoAMI

Se traduisent par :

Des chercheurs en cybersécurité ont découvert une nouvelle attaque par confusion de noms baptisée « whoAMI ». Cette attaque permet aux acteurs malveillants d'exécuter du code dans les comptes Amazon Web Services (AWS) en publiant une Amazon Machine Image (AMI) avec un nom spécifique. Cette vulnérabilité a des implications importantes, car elle pourrait permettre un accès non autorisé à des milliers de comptes AWS.

Table des matières

Exploiter les recherches AMI mal configurées

Le cœur de cette attaque réside dans une tactique de manipulation de la chaîne d'approvisionnement. Elle consiste à déployer une AMI menaçante et à tromper un logiciel mal configuré en l'utilisant à la place de la version légitime. Cette vulnérabilité est présente à la fois dans les référentiels de code privés et open source, ce qui en fait une préoccupation généralisée.

Comment fonctionne l'attaque

AWS permet à tout le monde de publier des AMI, qui sont des images de machines virtuelles utilisées pour lancer des instances Elastic Compute Cloud (EC2). L'attaque exploite le fait que les développeurs peuvent négliger de spécifier l'attribut --owners lors de la recherche d'une AMI à l'aide de l'API ec2:DescribeImages.

Pour que cette attaque réussisse, les conditions suivantes doivent être remplies :

La recherche AMI repose sur un filtre de nom.
La recherche ne spécifie pas les paramètres propriétaire, alias propriétaire ou ID propriétaire.
La requête récupère l'image la plus récemment créée (most_recent=true).

Lorsque ces conditions sont réunies, un attaquant peut créer une AMI frauduleuse avec un nom correspondant au modèle de recherche de la cible. En conséquence, une instance EC2 est lancée à l'aide de l'AMI compromise de l'attaquant, ce qui lui permet d'exécuter du code à distance (RCE) et d'effectuer des activités après exploitation.

Similitudes avec les attaques par confusion de dépendance

Cette attaque présente des similitudes avec les exploits de confusion de dépendances, où des dépendances logicielles non sécurisées (comme un package pip) remplacent des dépendances légitimes. Cependant, dans l'attaque whoAMI, la ressource compromise est une image de machine virtuelle au lieu d'une dépendance logicielle.

Réponse et mesures de sécurité d'Amazon

Suite à la divulgation de cette attaque le 16 septembre 2024, Amazon a réagi rapidement et a résolu le problème dans un délai de trois jours. Apple a également reconnu que les clients qui récupèrent les identifiants AMI via l'API ec2:DescribeImages sans spécifier de valeur de propriétaire sont en danger.

Pour atténuer cette menace, AWS a introduit une nouvelle fonctionnalité de sécurité appelée AMI autorisées en décembre 2024. Ce paramètre à l'échelle du compte permet aux utilisateurs de restreindre la découverte et l'utilisation des AMI dans leurs comptes AWS, réduisant ainsi considérablement la surface d'attaque. Les professionnels de la sécurité recommandent aux clients AWS d'évaluer et de mettre en œuvre ce nouveau contrôle pour protéger leurs environnements cloud contre les attaques par confusion de noms.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Attaque whoAMI

Exploiter les recherches AMI mal configurées

Comment fonctionne l'attaque

Similitudes avec les attaques par confusion de dépendance

Réponse et mesures de sécurité d'Amazon

Soumettre un Commentaire