Инстанцы Amazon EC2 под ударом атак whoAMI, что может дать хакерам доступ к выполнению кода

Уязвимость под названием WhoAMI была обнаружена в Amazon Machine Image. Она позволяет злоумышленникам получить возможности удаленного выполнения кода (RCE) на аккаунтах пользователей AWS. Хотя исправление уже выпущено, многие пользователи все еще не обновили свои системы.

Эксперты предупредили, что пользователи Amazon Web Services (AWS) потенциально подвержены атаке путаницы имен, названной «whoAMI». Эта уязвимость была найдена в Amazon Machine Image (AMI) летом 2024 года исследователями по кибербезопасности из DataDog. Амазон подтвердил наличие проблемы и заявил, что исправление уже применено с их стороны, призывая пользователей обновить код на своей стороне для обеспечения безопасности своих ресурсов.

AMI — это предварительно настроенный шаблон, используемый для создания и запуска виртуальных серверов (экземпляров EC2) в AWS. Он включает операционную систему, программное обеспечение приложений и необходимые настройки, такие как хранилище и разрешения. AMIs позволяют пользователям быстро развёртывать согласованные среды, будь то используемые образы от AWS, общинные AMI или собственные пользовательские версии. Это делает управление облачной инфраструктурой более эффективным.

AMI может быть общедоступным или закрытым и при создании получает уникальный идентификатор. Общедоступные образы могут быть найдены в каталоге AWS, но они также должны иметь атрибут «owners», который подтверждает их доверительное происхождение.

Исследователи обнаружили, что способ, которым проекты программного обеспечения извлекают идентификаторы AMI, содержит уязвимость, позволяющую злоумышленникам получить возможности удаленного выполнения кода (RCE) в аккаунтах пользователей AWS. Подробные технические детали о том, как работает эта уязвимость и как ее можно эксплуатировать, доступны по этой ссылке.

Кратко говоря, если злоумышленник публикует AMI с именем, следующим формату доверенных владельцев, это может быть случайно выбрано. Когда DataDog впервые обнаружила эту уязвимость, она заявила, что всего лишь небольшой процент пользователей AWS подвержен риску, но это все равно составляет «тысячи» аккаунтов.

Амазон ответил на проблему, выпустив исправление в середине сентября прошлого года и представив новый механизм безопасности под названием «Allowed AMIs» в начале декабря прошлого года. Компания также призвала всех пользователей применить исправления, подчеркнув отсутствие доказательств его злоупотребления в реальном мире.

Информация предоставлена через BleepingComputer.