Yeni “whoAMI” Saldırısı, AWS AMI Ad Karışıklığını Kullanarak Uzaktan Kod Çalıştırmaya İzin Veriyor

Siber güvenlik araştırmacıları, whoAMI adını verdikleri yeni bir ad karışıklığı saldırısı keşfetti. Bu saldırı, belirli bir adla Amazon Machine Image (AMI) yayımlayan herhangi birinin, Amazon Web Services (AWS) hesapları içinde kod çalıştırmasına olanak tanıyor.

Datadog Security Labs araştırmacısı Seth Art, The Hacker News ile paylaştığı raporda şunları söyledi:

“Eğer büyük ölçekli olarak uygulanırsa, bu saldırı binlerce hesaba erişim sağlamak için kullanılabilir. Bu güvenlik açığına neden olan yanlış yapılandırma örnekleri, hem özel hem de açık kaynaklı kod depolarında bulunabilir.”

Bu teknik, kötü amaçlı bir kaynağın yayımlanarak yanlış yapılandırılmış yazılımların onu meşru kaynak yerine kullanmasını sağlamaya yönelik bir tedarik zinciri saldırısının (supply chain attack) bir alt türüdür.

Saldırı, herkesin AWS topluluk kataloğuna AMI yükleyebilmesi ve geliştiricilerin ec2:DescribeImages API kullanarak AMI araması yaparken –owners parametresini belirtmeyi unutabilmesi gerçeğinden yararlanıyor.