كشف باحثون في مجال الأمن السيبراني عن نوع جديد من هجمات الارتباك في الأسماء يدعى “whoAMI” يسمح لأي شخص ينشر صورة آلة أمازون (AMI) باسم محدد بتفعيل التعليمات البرمجية داخل حساب Amazon Web Services (AWS).
قال الباحث في مختبرات Datadog Security، سيث آرت، في تقرير مشترك مع The Hacker News: “إذا تم تنفيذ هذا الهجوم على نطاق واسع، فقد يُستخدم للوصول إلى آلاف الحسابات”. و”يمكن العثور على النمط الضعيف في العديد من مستودعات الكود الخاصة والمفتوحة المصدر.”
في جوهرها، تعتبر هذه التقنية جزءًا من هجوم سلسلة التوريد الذي يتضمن نشر مورد ضار وخداع البرامج المكوّنة بشكل خاطئ لاستخدامه بدلاً من المورد الشرعي.
كيفية تنفيذ الهجوم
يستغل الهجوم حقيقة أن أي شخص يمكنه نشر AMI، وهي صورة آلة افتراضية تُستخدم لتشغيل مثيلات Elastic Compute Cloud (EC2) في AWS، إلى كتالوج المجتمع، وحقيقة أن المطورين قد يهملون ذكر سمة “–owners” عند البحث عن صورة باستخدام واجهة برمجة التطبيقات ec2:DescribeImages.
بمعنى آخر، يتطلب هجوم الارتباك في الأسماء توافر ثلاثة شروط عند استرجاع الضحية لمعرف AMI عبر واجهة برمجة التطبيقات:
1- استخدام فلتر الاسم.
2- الفشل في تحديد أي من معلمات المالك، alias المالك، أو معرف المالك.
3- جلب الصورة الأحدث من قائمة الصور المطابقة (“most_recent=true”).
يؤدي هذا إلى سيناريو يمكن للمهاجم فيه إنشاء AMI ضار باسم يتطابق مع النمط المحدد في معايير البحث، مما يؤدي إلى إنشاء مثيل EC2 باستخدام AMI الضار الخاص بالمهاجم.
هذا بدوره يمنح القدرة على تنفيذ التعليمات البرمجية عن بُعد (RCE) على المثيل، مما يسمح للمهاجمين بتنفيذ العديد من الإجراءات بعد الاستغلال.
متطلبات الهجوم
كل ما يحتاجه المهاجم هو حساب AWS لنشر AMI المتواجد في كتالوج Community AMI واختيار اسم يتطابق مع AMIs المستهدفة.
“إنه مشابه جدًا لهجوم ارتباك التبعية، باستثناء أن المورد الضار في الأخير هو اعتماد برمجي (مثل حزمة pip)، بينما في هجوم ارتباك الأسماء whoAMI، المورد الضار هو صورة آلة افتراضية”.
حوالي 1% من المؤسسات التي تراقبها الشركة تأثرت بهجوم whoAMI، وأنها وجدت أمثلة عامة لكود مكتوب بلغات Python وGo وJava وTerraform وPulumi وBash shell باستخدام المعايير الضعيفة.
رد فعل الشركات
تم معالجة المشكلة من قبل Amazon بعد ثلاثة أيام من الإعلان عنها، عندما تم الوصول إلى AWS للتعليق، قالت الشركة أنها لم تجد أي دليل على استغلال التقنية .
وقالت الشركة: “جميع خدمات AWS تعمل كما هو مصمم. بناءً على تحليل السجلات المكثف والمراقبة، أكد تحقيقنا أن التقنية الموصوفة في هذا البحث قد نفذها الباحثون المرخصون فقط، دون وجود أي دليل على استخدامها من قبل أطراف أخرى”.
إجراءات الحماية
“يمكن أن تؤثر هذه التقنية على العملاء الذين يستردون معرفات صور Amazon Machine Image (AMI) عبر واجهة برمجة التطبيقات ec2:DescribeImages دون تحديد قيمة المالك، كما تم تقديم AMIs المسموح بها، وهي إعداد جديد على مستوى الحساب يمكن العملاء من تحديد استخدام واكتشاف AMIs داخل حسابات AWS الخاصة بهم.
