Eine Schwachstelle namens WhoAMI wurde im Amazon Machine Image entdeckt. Sie ermöglicht es Bedrohungsakteuren, RCE-Fähigkeiten auf den AWS-Konten von Personen zu erlangen. Es wurde eine Lösung veröffentlicht, aber viele Benutzer haben ihr System noch nicht aktualisiert.

Experten warnen davor, dass Benutzer von Amazon Web Services (AWS) potenziell anfällig für einen Namensverwechslungsangriff namens „WhoAMI“ sind. Die Sicherheitslücke wurde im Amazon Machine Image (AMI) im Sommer 2024 von Cybersecurity-Forschern DataDog entdeckt und von Amazon bestätigt. Amazon hat das Problem auf seiner Seite behoben und die Benutzer aufgefordert, den Code auf ihrer Seite zu aktualisieren, um ihre Systeme zu schützen.

AMI ist eine vordefinierte Vorlage, die verwendet wird, um virtuelle Server (EC2-Instanzen) in AWS zu erstellen und zu starten. Es umfasst ein Betriebssystem, Anwendungssoftware und erforderliche Konfigurationen wie Speicher und Berechtigungen. AMIs ermöglichen es Benutzern, schnell konsistente Umgebungen bereitzustellen, sei es mit von AWS bereitgestellten Bildern, Community-AMIs oder benutzerdefinierten. Dies erleichtert das Skalieren und Verwalten von Cloud-Infrastrukturen.

Öffentliche und private AMIs sind verfügbar und verfügen über eine eindeutige Kennung. Öffentliche AMIs sollten auch das Attribut „Besitzer“ enthalten, um sicherzustellen, dass sie von einer vertrauenswürdigen Quelle stammen. Die Forscher fanden heraus, dass die Art und Weise, wie Softwareprojekte AMI-IDs abrufen, fehlerhaft war und Bedrohungsakteuren ermöglichte, RCE-Fähigkeiten innerhalb von AWS-Konten von Personen zu erlangen.

Amazon reagierte auf die Schwachstelle, indem im September des letzten Jahres ein Fix veröffentlicht wurde und im Dezember des letzten Jahres eine neue Sicherheitskontrolle mit dem Namen „Erlaubte AMIs“ veröffentlicht wurde. Es wurde allen Benutzern empfohlen, die Korrekturen anzuwenden, und betonte, dass es keine Hinweise auf Missbrauch in freier Wildbahn gab.

Quelle: BleepingComputer.