AWS AMI 命名混淆攻擊手法曝光 可能導致遠端程式碼執行

資安研究人員近期揭露了一種新型態的命名混淆攻擊，稱為「whoAMI」。該攻擊手法允許任何人透過發布特定名稱的 Amazon Machine Image (AMI)，在目標的 AWS 帳戶中執行惡意程式碼。

研究人員表示，如果大規模執行此攻擊，可能會危及數千個帳戶的安全。這種易受攻擊的模式在許多私有和開源程式碼儲存庫中都可以找到。

攻擊原理&影響

這種攻擊本質上是供應鏈攻擊的一種變體，攻擊者透過發布惡意資源，誘使配置錯誤的軟體使用這些資源，而非合法的對應項目。攻擊者主要利用了兩個特點：任何人都可以將 AMI 發布到社群目錄，以及開發人員在使用 ec2:DescribeImages API 搜尋 AMI 時可能忽略指定 "owners" 屬性。

要使此命名混淆攻擊成功，需要在使用者檢索 AMI ID 時同時滿足三個條件：使用名稱過濾器（name filter）、未指定擁有者相關參數，以及從返回的相符映像清單中獲取最近建立的映像。當這些條件成立時，攻擊者就能建立一個名稱符合搜尋條件的惡意 AMI。一旦受害者使用該 AMI 建立 EC2 實例，攻擊者就能在該實例上執行遠端程式碼（RCE）。

根據 Datadog 的監測，約有 1% 的組織受到 whoAMI 攻擊的影響。研究人員發現，使用 Python、Go、Java、Terraform、Pulumi 和 Bash shell 編寫的程式碼中都存在易受攻擊的模式。

AWS 回應與修補措施

AWS 在收到研究人員的通報後迅速採取行動。該公司表示，根據日誌分析和監控，目前尚未發現此技術被惡意利用的證據。為了加強安全防護，AWS 在 2024 年 12 月推出了「Allowed AMIs」新功能，這是一項全帳戶範圍的設定，使客戶能夠限制其 AWS 帳戶內 AMI 的發現和使用。

HashiCorp Terraform 也在去年 11 月的 terraform-provider-aws 5.77.0 版本中，開始在使用者未指定擁有者過濾器而使用 "most_recent = true" 時發出警告。這項警告預計在 6.0.0 版本中升級為錯誤提示。

安全建議

針對這項新發現的威脅，資安專家建議 AWS 使用者在使用 ec2:DescribeImages API 時務必指定 owner 值，並建議評估和實施新推出的 Allowed AMIs 安全控制。同時也提醒使用 Terraform 的開發團隊應定期檢查和更新其配置，確保符合最新的安全建議。

本文同時提醒開發人員，在處理雲端資源時應特別注意供應鏈安全，謹慎驗證所有外部資源的來源。作為基本安全實踐，開發團隊應該建立嚴格的 AMI 使用政策，並定期審查所有與 AWS 資源相關的程式碼。

本文轉載自thehackernews。