کمیته رکن چهارم – محققان امنیتی یک حمله جدید به نام whoAMI را شناسایی کردهاند که میتواند به هکرها اجازه دهد کنترل برخی از سرورهای ابری در AWS را به دست بگیرند. این حمله از روشی استفاده میکند که باعث میشود کاربران بدون اطلاع، یک نسخه جعلی از نرمافزار را اجرا کنند و به مهاجمان امکان اجرای کد از راه دور را بدهد.
به گزارش کمیته رکن چهارم، هکرها در این روش از یک مشکل در Amazon Machine Image (AMI) سوءاستفاده میکنند. AMI یک نسخه آماده از سیستمعامل و نرمافزارهای مورد نیاز است که برای راهاندازی سرورها در AWS استفاده میشود. در این حمله، مهاجم یک نسخه جعلی از این تصویر را با همان نام نسخه اصلی منتشر میکند و در صورت عدم تنظیم صحیح امنیتی، ممکن است کاربران بهاشتباه از نسخه مخرب استفاده کنند. این کار به مهاجمان اجازه میدهد کنترل سرورهای قربانی را در اختیار بگیرند و حملات بیشتری انجام دهند.
شرکت AWS این مشکل را شناسایی و برطرف کرده است و اعلام کرده که تاکنون هیچ مدرکی از حمله واقعی با این روش وجود ندارد. با این حال، کارشناسان امنیتی هشدار میدهند که کاربران AWS باید تنظیمات امنیتی خود را بررسی کنند و مطمئن شوند که فقط از منابع معتبر استفاده میکنند.
برای جلوگیری از این حمله، AWS به کاربران توصیه کرده است که هنگام انتخاب AMI، مالک آن را مشخص کنند و از ویژگی «Allowed AMIs» برای جلوگیری از استفاده از تصاویر نامعتبر استفاده کنند. همچنین، برخی از ابزارهای مدیریت AWS مانند Terraform در نسخههای جدیدتر خود، هنگام استفاده از تنظیمات ناامن، به کاربران هشدار خواهند داد.
این حمله نشان میدهد که حتی یک اشتباه کوچک در تنظیمات میتواند منجر به دسترسی غیرمجاز و حملات سایبری جدی شود. توسعهدهندگان و کاربران AWS باید دقت بیشتری در انتخاب منابع خود داشته باشند تا از حملات احتمالی جلوگیری کنند.
