新型"whoAMI"攻击利用AWS AMI名称混淆实现远程代码执行
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
网络安全研究人员揭露了一种名为"whoAMI"的新型攻击,攻击者通过发布特定名称的亚马逊机器镜像(AMI)诱使开发者使用,从而实现AWS账户的远程代码执行。亚马逊已在三天内修复该漏洞,并建议客户加强安全控制。
🎯
关键要点
- 网络安全研究人员披露了一种名为'whoAMI'的新型名称混淆攻击。
- 该攻击允许发布特定名称的亚马逊机器镜像(AMI)用户在AWS账户内获得代码执行权限。
- 攻击者可以通过发布恶意资源诱使配置不当的软件使用这些资源。
- 攻击需要满足三个条件:使用名称过滤器、未指定所有者参数、获取最近创建的镜像。
- 攻击者可创建符合搜索标准的恶意AMI,导致受害者使用该AMI创建EC2实例。
- 约1%的被监测组织受到'whoAMI'攻击影响,发现了多种编程语言中的易受攻击代码示例。
- 亚马逊在三天内修复了该漏洞,并建议客户实施新的安全控制。
- HashiCorp Terraform将在未来版本中对未使用所有者过滤器的情况发出警告。
❓
延伸问答
什么是'whoAMI'攻击?
'whoAMI'攻击是一种名称混淆攻击,攻击者通过发布特定名称的亚马逊机器镜像(AMI)诱使开发者使用,从而获得AWS账户的远程代码执行权限。
如何实施'whoAMI'攻击?
实施'whoAMI'攻击需要满足三个条件:使用名称过滤器、未指定所有者参数、获取最近创建的镜像。
该攻击对组织的影响有多大?
约1%的被监测组织受到'whoAMI'攻击的影响,且在多种编程语言中发现了易受攻击的代码示例。
亚马逊如何应对'whoAMI'攻击?
亚马逊在三天内修复了该漏洞,并建议客户实施新的安全控制,如'Allowed AMIs'。
HashiCorp Terraform如何处理此漏洞?
HashiCorp Terraform将在未来版本中对未使用所有者过滤器的情况发出警告,并预计在版本6.0.0中将其升级为错误。
攻击者如何利用AMI进行攻击?
攻击者可以发布一个与目标AMI名称匹配的恶意AMI,从而诱使受害者使用该AMI创建EC2实例,获得远程代码执行权限。
➡️
