Yeni “whoAMI” Saldırısı, AWS AMI Ad Karışıklığını Kullanarak Uzaktan Kod Çalıştırmaya İzin Veriyor
Siber güvenlik araştırmacıları, whoAMI adını verdikleri yeni bir ad karışıklığı saldırısı keşfetti. Bu saldırı, belirli bir adla Amazon Machine Image (AMI) yayımlayan herhangi birinin, Amazon Web Services (AWS) hesapları içinde kod çalıştırmasına olanak tanıyor.
Datadog Security Labs araştırmacısı Seth Art, The Hacker News ile paylaştığı raporda şunları söyledi:
“Eğer büyük ölçekli olarak uygulanırsa, bu saldırı binlerce hesaba erişim sağlamak için kullanılabilir. Bu güvenlik açığına neden olan yanlış yapılandırma örnekleri, hem özel hem de açık kaynaklı kod depolarında bulunabilir.”
Bu teknik, kötü amaçlı bir kaynağın yayımlanarak yanlış yapılandırılmış yazılımların onu meşru kaynak yerine kullanmasını sağlamaya yönelik bir tedarik zinciri saldırısının (supply chain attack) bir alt türüdür.
Saldırı, herkesin AWS topluluk kataloğuna AMI yükleyebilmesi ve geliştiricilerin ec2:DescribeImages API kullanarak AMI araması yaparken –owners parametresini belirtmeyi unutabilmesi gerçeğinden yararlanıyor.
Basitçe söylemek gerekirse, bu saldırının başarılı olması için üç koşulun sağlanması gerekiyor:
- Ad filtresi kullanılması (örneğin, belirli bir isme sahip AMI aranması),
- Sahip (owner), sahip takma adı (owner-alias) veya sahip kimliği (owner-id) parametrelerinden herhangi birinin belirtilmemesi,
- En son oluşturulan AMI’nin çekilmesi (most_recent=true).
Bu hatalar, saldırganın kurbanın belirttiği adla eşleşen kötü amaçlı bir AMI oluşturmasına olanak tanıyor. Sonuç olarak, EC2 örneği (instance) saldırganın hazırladığı bu sahte AMI kullanılarak başlatılıyor ve saldırgan uzaktan kod çalıştırma (RCE) yetkisi elde ediyor. Bu sayede sistemde kötü amaçlı faaliyetler gerçekleştirebiliyor.
Saldırganın tek yapması gereken şey, bir AWS hesabı açarak kötü amaçlı AMI’sini topluluk kataloğuna yüklemek ve hedeflerin sık kullandığı AMI adlarını taklit etmek.
Araştırmacı Seth Art saldırıyı şu şekilde özetliyor:
“Bu saldırı, dependency confusion attack’a çok benziyor. Ancak dependency confusion kötü amaçlı kaynak bir yazılım paketi (örn: pip paketi) iken, whoAMI saldırısında bu kaynak sanal makine imajıdır (AMI).”
AWS ve Topluluk Nasıl Etkilendi?
Datadog’un araştırmasına göre, whoAMI saldırısından etkilenen organizasyonların oranı yaklaşık %1. Araştırmacılar, Python, Go, Java, Terraform, Pulumi ve Bash Shell dillerinde yazılmış ve bu güvenlik açığını içeren halka açık kod örnekleri bulduklarını belirtti.
Sorumlu açıklama politikası gereği, güvenlik açığı 16 Eylül 2024’te AWS’ye bildirildi ve Amazon, üç gün içinde düzeltme sağladı.
AWS yetkilileri, The Hacker News’e yaptıkları açıklamada şu ifadeleri kullandı:
“Tüm AWS hizmetleri beklendiği gibi çalışmaktadır. Kapsamlı günlük analizi ve izleme sonucunda, bu tekniğin yalnızca yetkili araştırmacılar tarafından test edildiği ve kötü niyetli aktörler tarafından kullanılmadığı tespit edilmiştir.”
AWS ayrıca, ec2:DescribeImages API’si ile AMI kimliklerini çekerken owner değeri belirtilmeyen müşterilerin etkilenebileceğini belirtti. Bu sorunu önlemek için Aralık 2024’te “Allowed AMIs” adında yeni bir güvenlik ayarı tanıtıldı. Bu ayar, AWS hesapları içinde kullanılabilecek AMI’leri sınırlandırarak saldırı yüzeyini daraltmayı amaçlıyor.
whoAMI saldırısının temel nedeni, Amazon Machine Image (AMI) seçim sürecinde eksik güvenlik kontrolleri yapılmasıdır. Özellikle, ec2:DescribeImages API kullanılırken –owners parametresinin belirtilmemesi, kötü niyetli aktörlerin sahte AMI’lerini yasal olanlarla karıştırmasına neden olmaktadır.
