歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
AWS AMI 命名混淆攻擊手法曝光 可能導致遠端程式碼執行
2025 / 02 / 17
編輯部
資安研究人員近期揭露了一種新型態的命名混淆攻擊,稱為「whoAMI」。該攻擊手法允許任何人透過發布特定名稱的 Amazon Machine Image (AMI),在目標的 AWS 帳戶中執行惡意程式碼。
研究人員表示,如果大規模執行此攻擊,可能會危及數千個帳戶的安全。這種易受攻擊的模式在許多私有和開源程式碼儲存庫中都可以找到。
攻擊原理&影響
這種攻擊本質上是供應鏈攻擊的一種變體,攻擊者透過發布惡意資源,誘使配置錯誤的軟體使用這些資源,而非合法的對應項目。
攻擊者主要利用了兩個特點:任何人都可以將 AMI 發布到社群目錄,以及開發人員在使用 ec2:DescribeImages API 搜尋 AMI 時可能忽略指定 "
owners
" 屬性。
要使此命名混淆攻擊成功,需要在使用者檢索 AMI ID 時同時滿足三個條件:使用名稱過濾器(name filter)、未指定擁有者相關參數,以及從返回的相符映像清單中獲取最近建立的映像。當這些條件成立時,攻擊者就能建立一個名稱符合搜尋條件的惡意 AMI。一旦受害者使用該 AMI 建立 EC2 實例,攻擊者就能在該實例上執行遠端程式碼(RCE)。
根據 Datadog 的監測,約有 1% 的組織受到 whoAMI 攻擊的影響。研究人員發現,使用 Python、Go、Java、Terraform、Pulumi 和 Bash shell 編寫的程式碼中都存在易受攻擊的模式。
AWS 回應與修補措施
AWS 在收到研究人員的通報後迅速採取行動。該公司表示,根據日誌分析和監控,目前尚未發現此技術被惡意利用的證據。為了加強安全防護,AWS 在 2024 年 12 月推出了「Allowed AMIs」新功能,這是一項全帳戶範圍的設定,使客戶能夠限制其 AWS 帳戶內 AMI 的發現和使用。
HashiCorp Terraform 也在去年 11 月的 terraform-provider-aws 5.77.0 版本中,開始在使用者未指定擁有者過濾器而使用 "most_recent = true" 時發出警告。這項警告預計在 6.0.0 版本中升級為錯誤提示。
安全建議
針對這項新發現的威脅,資安專家建議 AWS 使用者在使用 ec2:DescribeImages API 時務必指定 owner 值,並建議評估和實施新推出的 Allowed AMIs 安全控制。同時也提醒使用 Terraform 的開發團隊應定期檢查和更新其配置,確保符合最新的安全建議。
本文同時提醒開發人員,在處理雲端資源時應特別注意供應鏈安全,謹慎驗證所有外部資源的來源。作為基本安全實踐,開發團隊應該建立嚴格的 AMI 使用政策,並定期審查所有與 AWS 資源相關的程式碼。
本文轉載自thehackernews。
whoAMI
雲端安全
開源程式碼安全
供應鏈攻擊
RCE
AWS AMI
最新活動
2025.04.25
線上研討會 : 有效管控企業資安&營業秘密風險
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
外媒看CrazyHunter勒索團體手法,關注防範開源工具攻擊
資安署25年3月資安月報:入侵攻擊持續居首 Line偽冒網站威脅增加
AI時代的資安攻防:趨勢科技揭「網路犯罪即代理」趨勢
報告:網路邊緣設備成為中小企業資安攻擊的主要入口
Google Cloud:2025 年資安管理者的五大關注重點
資安人科技網
文章推薦
TWISA攜手數產署展現台灣資安硬實力
資安託管業者如何應對AI安全盲點
華碩發布修補程式解決可能導致伺服器損壞的 AMI 漏洞