Los investigadores de seguridad han descubierto un ataque de confusión de nombre que permite el acceso a una cuenta de servicios web de Amazon a cualquier persona que publique una imagen de Amazon Machine (amigo) con un nombre específico.
Apodado “Whoami”, el ataque fue Hecho por investigadores de datadog En agosto de 2024, que demostró que es posible que los atacantes obtengan la ejecución del código en las cuentas de AWS explotando cómo los proyectos de software recuperan los identificadores amigables.
Amazon confirmó la vulnerabilidad y impulsó una corrección en septiembre, pero el problema persiste en el lado del cliente en los entornos donde las organizaciones no actualizan el código.
Ataque de Whoami
Los amigos son máquinas virtuales preconfiguradas con el software necesario (sistema operativo, aplicaciones) utilizadas para la creación de servidores virtuales, que se denominan instancias EC2 (nube de cálculo elástica) en el ecosistema AWS.
Hay amigos públicos y privados, cada uno con un identificador específico. En el caso del público, los usuarios pueden buscar en el catálogo de AWS la buena identificación del amigo que necesitan.
Para garantizar que el amigo provenga de una fuente de confianza en el mercado de AWS, la investigación debe incluir el atributo de “propietarios”, si no el riesgo de un ataque de confusión contra el nombre que aumenta.
El ataque a Whoami es posible debido a la selección de un amigo erróneo en los entornos de AWS:
- La recuperación de amigos por software utilizando la API EC2: escrita sin secar a un propietario
- El uso de Joker por scripts en lugar de un amigo específico identifica
- La práctica de ciertas herramientas de infraestructura como un código como un terrbaform utilizando “Most_recent = True”, eligiendo automáticamente al último amigo que corresponde al filtro.
Estas condiciones permiten a los atacantes insertar amigos maliciosos en el proceso de selección al nombrar el recurso similar al de la confianza. Sin especificar un año del propietario, AWS refiere a todos los amigos a juego, incluido el del atacante.
Si el parámetro “The Most_Cent” se define en “True”, el sistema de la víctima proporciona el último AMS agregado al mercado, que puede incluir a un hombre malicioso que tiene un nombre similar a una entrada legítima.
Fuente: Datadog
Básicamente, todo lo que un atacante debe hacer es publicar a un amigo con un nombre que corresponde al modelo utilizado por los propietarios de confianza, lo que permite a los usuarios seleccionarlo fácilmente y iniciar una instancia de EC2.
El ataque Whoami no requiere una violación de la cuenta de AWS del objetivo. El atacante solo necesita una cuenta de AWS para publicar a su amigo trasero en el amigable catálogo de la comunidad pública y para elegir estratégicamente un nombre que imite a los amigos de sus objetivos.
https://www.youtube.com/watch?v=l-wexfjd-bo
Datadog dice que sobre la base de su telemetría, alrededor del 1% de las organizaciones, los monitores comerciales son vulnerables a los ataques de Whoami, pero “esta vulnerabilidad probablemente afecta a miles de cuentas de AWS distintas”.
Medidas de respuesta y defensa de Amazon
Los investigadores de Datadog informaron a Amazon Faille y la compañía confirmó que los sistemas internos de no producción eran vulnerables al ataque a Whoami.
El problema se resolvió el año pasado el 19 de septiembre y, el 1 de diciembre, AWS presentó un nuevo control de seguridad llamado “amigos autorizados” que permitió a los clientes crear una lista de autorización de proveedores de amigos de confianza.
AWS dijo que la vulnerabilidad no se usó fuera de las pruebas de investigadores de seguridad, por lo que no se han comprometido los datos del cliente a través de los ataques de Whoami.
Amazon aconseja a los clientes que siempre especifiquen a los propietarios de amigos cuando usen la API “EC2: Describa Lestin” y active la función “Amigos autorizados” para obtener protección adicional.
La nueva función está disponible a través de Consola AWS → EC2 → Atributos de la cuenta → Amigos autorizados.
A partir de noviembre pasado, Terraform 5.77 comenzó a cumplir advertencias a los usuarios cuando “Most_RECent = True” se usa sin filtro de propietario, con una aplicación más estricta proporcionada para futuras versiones (6.0).
Los administradores del sistema deben auditar su configuración y actualizar su código en fuentes amigables (Terraform, AWS CLI, Python Boto3 y Go AWS SDK) para Friend Safe Recovery.
Para verificar si se utilizan actualmente amigos poco confiables, active el modo de auditoría de AWS a través de “amigos autorizados” y vaya al “modo de aplicación” para bloquearlos.
Datadog también publicó un escáner para verificar la cuenta de AWS para las instancias creadas a partir de un amigo poco confiable, disponible en Este repositorio de Github.