Cotización de descuento para licencias múltiples
Seguridad informática Ataque de whoAMI

Ataque de whoAMI

Por Mezo en Seguridad informática
Traducir a:
Español

Los investigadores de ciberseguridad han descubierto un nuevo ataque de confusión de nombres denominado "whoAMI". Este ataque permite a los actores de amenazas ejecutar código dentro de las cuentas de Amazon Web Services (AWS) mediante la publicación de una Amazon Machine Image (AMI) con un nombre específico. Esta vulnerabilidad tiene implicaciones importantes, ya que podría permitir el acceso no autorizado a miles de cuentas de AWS.

Cómo aprovechar las búsquedas AMI mal configuradas

El núcleo de este ataque reside en una táctica de manipulación de la cadena de suministro. Implica la implementación de una AMI amenazante y el engaño a un software mal configurado para que la utilice en lugar de la versión legítima. Esta vulnerabilidad está presente tanto en repositorios de código privado como de código abierto, lo que la convierte en una preocupación generalizada.

Cómo funciona el ataque

AWS permite que cualquier persona publique AMI, que son imágenes de máquinas virtuales que se utilizan para iniciar instancias de Elastic Compute Cloud (EC2). El ataque aprovecha el hecho de que los desarrolladores pueden no especificar el atributo --owners al buscar una AMI mediante la API ec2:DescribeImages.

Para que este ataque tenga éxito, se deben cumplir las siguientes condiciones:

  • La búsqueda AMI se basa en un filtro de nombre.
  • La búsqueda no especifica los parámetros de propietario, alias del propietario o ID del propietario.
  • La solicitud obtiene la imagen creada más recientemente (most_recent=true).

Cuando se dan estas condiciones, un atacante puede crear una AMI fraudulenta con un nombre que coincida con el patrón de búsqueda del objetivo. Como resultado, se lanza una instancia EC2 utilizando la AMI comprometida del atacante, lo que otorga capacidades de ejecución remota de código (RCE) y permite actividades posteriores a la explotación.

Similitudes con los ataques de confusión de dependencia

Este ataque tiene similitudes con los exploits de confusión de dependencias, en los que dependencias de software inseguras (como un paquete pip) reemplazan a las legítimas. Sin embargo, en el ataque whoAMI, el recurso comprometido es una imagen de máquina virtual en lugar de una dependencia de software.

Respuesta y medidas de seguridad de Amazon

Tras la divulgación de este ataque el 16 de septiembre de 2024, Amazon respondió rápidamente y solucionó el problema en tres días. Apple también ha reconocido que los clientes que recuperan los ID de AMI a través de la API ec2:DescribeImages sin especificar un valor de propietario corren riesgo.

Para mitigar esta amenaza, AWS introdujo una nueva función de seguridad denominada AMI permitidas en diciembre de 2024. Esta configuración para toda la cuenta permite a los usuarios restringir el descubrimiento y el uso de AMI dentro de sus cuentas de AWS, lo que reduce significativamente la superficie de ataque. Los profesionales de seguridad recomiendan que los clientes de AWS evalúen e implementen este nuevo control para proteger sus entornos de nube de ataques de confusión de nombres.


Cargando...