Pesquisadores emitem alerta sobre imagens maliciosas na comunidade AMI da AWS
Comunidade Amazon Machine Images (AMI) é um alvo para hackers, dizem os pesquisadores.
Os pesquisadores estão soando o alarme sobre o que eles dizem ser um vetor de ameaça crescente vinculado à Amazon Web Services e seu mercado de servidores virtuais pré-configurados. O perigo, de acordo com os pesquisadores da Mitiga, é que os agentes da ameaça podem facilmente construir Community Amazon Machine Images (AMI) com malware e disponibilizá-las para clientes AWS desavisados.
A ameaça não é teórica. Na sexta-feira, Mitiga divulgou detalhes de um AMI malicioso encontrado em execução em uma instância infectada do Windows Server 2008. Os pesquisadores disseram que o AMI foi removido de uma instância do Amazon Elastic Compute Cloud (EC2) no início deste mês, mas ainda está disponível na Comunidade da Amazon Mercado AMI.
O AMI em questão estava abrigando um minerador de criptografia gerando moedas Monero para hackers desconhecidos no EC2 de uma instituição financeira nos últimos cinco anos. Mitiga disse que notificou a Amazon sobre o desonesto AMI na terça-feira, observando que a Amazon respondeu prometendo uma resposta em cinco dias úteis.
“Vulnerabilidades desse tipo representam um risco significativo, pois o código incorporado pode incluir malware, ransomware ou outro tipo de ferramentas de ataque”, disse Ofer Maor, diretor de tecnologia e cofundador da Mitiga, com sede em Israel.
As Amazon Machine Images vêm em dois sabores e estão disponíveis no mercado AWS. A Amazon oferece seus próprios AMIs e aqueles de parceiros pré-qualificados. O mercado da AWS também inclui dezenas de milhares de AMIs da Comunidade. Essas AMIs têm um policiamento menos rigoroso e geralmente estão disponíveis sem custos ou com custos baixos. Como o nome sugere, eles são criados por membros da comunidade.
“O problema aqui não é o cliente estar fazendo algo errado”, disse Maor. “O problema é com as AMIs da Comunidade e que não há freios e contrapesos. Qualquer pessoa pode criar um e colocá-lo na biblioteca Community AMI. Isso inclui aqueles com executáveis maliciosos. ”
AMIs oferecem aos desenvolvedores uma maneira fácil de ativar rapidamente soluções de computação baseadas em nuvem que podem variar de servidores legados, sistemas de computação IoT especializados a servidores virtuais que oferecem aplicativos de negócios baseados em nuvem convencionais. Essas instâncias AMI pré-preparadas podem ser uma dádiva de Deus para desenvolvedores que procuram economizar tempo e dinheiro ao construir instâncias EC2.
Por parte da Amazon, ele descreve claramente os riscos envolvidos com as AMIs da Comunidade disponíveis em sua plataforma:
“Você usa um AMI compartilhado por sua própria conta e risco. A Amazon não pode garantir a integridade ou segurança das AMIs compartilhadas por outros usuários do Amazon EC2. Portanto, você deve tratar AMIs compartilhados como faria com qualquer código estrangeiro que você possa considerar implantar em seu próprio data center e realizar a devida diligência adequada. Recomendamos que você obtenha um AMI de uma fonte confiável. ”
Pesquisadores da Mitiga afirmam que a Amazon não vai longe o suficiente na criação de salvaguardas. Ele argumenta que, semelhante a repositórios de código como o GitHub, a Amazon precisa criar algum tipo de classificação de usuário ou loop de feedback vinculado a AMIs da comunidade. Dessa forma, os usuários podem ajudar a autopoliciar o ecossistema.
“Não acho que haja consciência suficiente sobre a segurança da AMI”, disse Maor. Ao contrário do mercado de consumo da Amazon, que oferece descrições detalhadas dos vendedores, avaliações e análises de produtos, com as AMIs da comunidade esses detalhes são “completamente ofuscados”, disse ele.
“Existem dezenas de milhares de AMIs comunitárias. Você não sabe quem são os editores, não há classificações. Não há comentários. E existe a suposição de que, se fizer parte da AWS, será kosher. E o que estamos descobrindo é que isso está longe de ser verdade. Acreditamos que os riscos são enormes ”, disse Maor.
Ele acrescentou que, ao contrário do código malicioso encontrado em repositórios populares, os AMIs maliciosos são muito mais difíceis de detectar. Identificar código malicioso, como um crypto miner, enterrado em binários de máquina virtual pode ser extremamente difícil em comparação com a identificação de código inválido ou não autorizado em código-fonte aberto em repositórios de código.
AMIs maliciosos não são um fenômeno inteiramente novo. Em 2018, a Summit Route investigou denúncias de um AMI da comunidade que supostamente também continha o malware Monero miner. A instância foi sinalizada no GitHub por um usuário.
“Este malware tentará explorar vulnerabilidades associadas a Hadoop, Redis e ActiveMQ, então uma possibilidade é que o criador deste AMI tenha sido uma vítima e teve seu sistema infectado antes de criar o AMI,” de acordo com o relatório.
Os pesquisadores da Mitiga acreditam que o vetor de ataque inclui agentes mal-intencionados que usam uma abordagem spray-and-pray para criar AMIs maliciosas. “Neste caso, era um Windows Server 2008 AMI desatualizado. As partes que usariam um AMI legado como este provavelmente teriam um software legado, o que aludiria a uma possível instituição financeira. Um invasor pode facilmente se encontrar em um ambiente muito sensível e vulnerável. ”
Mitiga recomenda, “por precaução, as empresas que utilizam AMIs da comunidade são recomendadas para verificar, encerrar ou buscar AMIs de fontes confiáveis para suas instâncias EC2”.
Fonte: https://threatpost.com/malicious-aws-community-amis/158555/
