Фахівці DataDog розповіли про атаку типу name confusion, яка отримала назву whoAMI. Той, хто публікував образ Amazon Machine Image (AMI) з певним ім’ям, міг отримати доступ до облікового запису Amazon Web Services.

Експерти розповіли, що атака була розроблена ще в серпні 2024 року. Вони продемонстрували, що зловмисник міг домогтися виконання довільного коду в контексті облікового запису AWS, експлуатуючи те, яким чином зазвичай здійснюється робота з ідентифікаторами AMI.

У DataDog пояснюють, що атака whoAMI стає можливою через неправильне налаштування вибору AMI в середовищах AWS у таких ситуаціях:

отримання AMI програмами, що використовують API ec2:DescribeImages, без зазначення власника (owner);
скрипти використовують wildcard замість конкретних ідентифікаторів AMI;
деякі IaC-інструменти (як-от Terraform) використовують параметр most_recent=true, автоматично обираючи останній AMI, який відповідає фільтру.
Перераховані умови дають змогу зловмиснику впроваджувати шкідливі AMI у процес вибору. Якщо owner не вказано, то AWS повертає всі відповідні AMI, включно зі шкідливими.

Якщо параметр most_recent має значення true, система жертви «бачить» усі останні AMI, додані на маркетплейс AWS, серед яких може бути шкідливий, ім’я якого схоже на легітимне.

По суті, зловмиснику достатньо мати обліковий запис AWS, щоб опублікувати свій шкідливий AMI в публічному каталозі Community AMI і вибрати ім’я, яке імітує цільовий AMI довіреного власника.

Розробники AWS підкреслюють, що вразливість використовували тільки в рамках тестів, проведених дослідниками, і дані клієнтів не постраждали внаслідок атак whoAMI.

Amazon рекомендує клієнтам завжди вказувати власника AMI під час використання API ec2:DescribeImages і активувати функцію Allowed AMIs для додаткового захисту.