Các nhà nghiên cứu an ninh mạng phát hiện cuộc tấn công whoAMI, lợi dụng lỗ hổng nhầm lẫn tên Amazon Machine Image (AMI) có thể dẫn đến thực thi mã từ xa trong tài khoản Amazon Web Services (AWS) của nạn nhân.
Đây là một dạng tấn công chuỗi cung ứng, trong đó kẻ tấn công đăng tải một AMI độc hại lên danh mục công khai của AWS và khai thác các hệ thống cấu hình sai, khiến chúng sử dụng AMI giả mạo thay vì AMI hợp lệ. Nếu một EC2 instance được khởi tạo từ AMI độc hại, kẻ tấn công sẽ có quyền kiểm soát hệ thống.
Lỗ hổng này ảnh hưởng đến mã nguồn trong nhiều ngôn ngữ lập trình như Python, Go, Java, Terraform, Pulumi, và Bash, khiến khoảng 1% tổ chức bị tác động.
AWS đã khắc phục lỗ hổng chỉ ba ngày sau khi được báo cáo vào 16/09/2024 và khuyến cáo khách hàng sử dụng tính năng Allowed AMIs để hạn chế việc tìm kiếm và sử dụng AMI trong tài khoản AWS. Đồng thời, HashiCorp Terraform đã bắt đầu cảnh báo khi sử dụng “most_recent = true” mà không có bộ lọc owner, và sẽ nâng cấp thành lỗi trong phiên bản 6.0.0.
