En raison d’une erreur de configuration, les développeurs pourraient être trompés dans la récupération des images malveillantes de la machine Amazon (AMI) tout en créant des instances EC2.
Des milliers de comptes AWS actifs sont vulnérables à une attaque de confusion de nom d’image cloud qui pourrait permettre aux attaquants d’exécuter des codes dans ces comptes.
Selon Datadog Research, des modèles vulnérables existent dans la façon dont plusieurs projets logiciels récupèrent les ID d’image de la machine Amazon (AMIS) pour créer des instances Amazon Elastic Calcul Cloud (EC2).
« Le modèle vulnérable permet à quiconque publie un AMI avec un nom spécialement conçu pour obtenir l’exécution de code dans le compte AWS vulnérable », ont déclaré les chercheurs dans un article de blog. «Si elle est exécutée à grande échelle, cette attaque pourrait être utilisée pour accéder à des milliers de comptes.»
L’attaque Whoami
Les chercheurs ont démontré que le vecteur d’attaque «Whoami» peut avoir un impact sur de nombreux référentiels de code privé et open source. Plus de 10 000 comptes AWS sont vulnérables à cette attaque, soit environ 1% des déploiements AWS actifs d’un million AWS.
L’attaque Whoami est un nom de confusion de nom, un type d’attaque de la chaîne d’approvisionnement où le logiciel mal configuré est amené à utiliser une ressource malveillante. Contrairement aux attaques de confusion de dépendance, qui cible la dépendance des logiciels comme les packages PIP, Whoami implique une image de machine virtuelle voyoue imitant une image légitime.
Un AMI est un modèle de machine virtuel préconfiguré utilisé pour lancer des instances EC2 dans AWS. Il comprend le système d’exploitation, le logiciel et les configurations. Les utilisateurs peuvent spécifier un AMI AMI connu ou rechercher les derniers AMI publics à l’aide de l’API EC2.DescrimGaes pour trouver des options spécifiques à la région.
Si l’attribut «propriétaires» est omis lors de la recherche d’un AMI, les chercheurs ont noté que AWS peut renvoyer des résultats qui incluent les AMI de la communauté publique à partir de tout compte. Les attaquants peuvent exploiter cela en publiant un ami malveillant avec un nom assorti et un horodatage plus récent, en trompant des outils d’infrastructure automatisée en tant que code (IAC) comme Terraform pour sélectionner une image compromise.
Les victimes ne sont vulnérables que si elles utilisent l’API EC2.DescrimImages avec un filtre de nom, omettent l’attribut «propriétaires» et sélectionnez l’AMI le plus récent, augmentant le risque de déployer une instance compromise.
Amazon a résolu le problème
Grâce au programme de divulgation de la vulnérabilité AWS (VDP), les chercheurs ont constaté que les propres systèmes internes de production internes d’AWS étaient vulnérables, permettant potentiellement aux attaquants d’exécuter du code dans l’infrastructure AWS. Le problème a été divulgué et résolu rapidement en septembre 2024.
Un peu plus tard le 1er décembre 2024, AWS a introduit AMIS AMIS, une fonctionnalité qui permet aux utilisateurs de définir une liste d’autorisation de confiance pour la sélection AMI, atténuant l’attaque de confusion du nom Whoami.
Le billet de blog comprenait une liste de requêtes que les développeurs peuvent utiliser pour identifier les modèles risqués dans leur code, ainsi qu’un lien vers l’outil open-source, Whoami-scanner, pour détecter les AMIS non fiables dans les environnements clients.
