Las instancias de Amazon EC2 en la mira de ataques whoAMI que podrían permitir a los hackers ejecutar código.

Se ha identificado una vulnerabilidad llamada WhoAMI en Amazon Machine Image (AMI), la cual permite a actores maliciosos obtener capacidades de ejecución remota (RCE) en las cuentas de AWS de los usuarios. Este problema fue descubierto en el verano de 2024 por investigadores de ciberseguridad de DataDog, y ha sido confirmado por Amazon, que ya ha implementado una solución y ha instado a los usuarios a actualizar su código para proteger sus sistemas.

Las AMIs son plantillas preconfiguradas utilizadas para crear y lanzar servidores virtuales (instancias EC2) en AWS. Estas incluyen un sistema operativo, software de aplicación y configuraciones necesarias como almacenamiento y permisos, lo que permite a los usuarios desplegar entornos de manera rápida y eficiente, ya sea utilizando imágenes proporcionadas por AWS, AMIs comunitarias o personalizadas.

Los investigadores descubrieron que el método por el cual los proyectos de software recuperan los identificadores de AMI tenía un defecto, lo que abría la posibilidad a que un actor malicioso pudiera ejecutar código remotamente en las cuentas de AWS de los usuarios. Este ataque se basa en una confusión de nombres, donde un atacante publica una AMI con un nombre que sigue el formato de los propietarios de confianza, lo que podría ser seleccionado por error por el sistema.

DataDog señaló que aunque solo un pequeño porcentaje de los usuarios de AWS es vulnerable, esto representa "miles" de cuentas. Amazon emitió una corrección a mediados de septiembre del año anterior y presentó un nuevo control de seguridad denominado “Allowed AMIs” a principios de diciembre, recomendando a todos los usuarios que aplicaran estas actualizaciones, aunque no hay evidencia de que la vulnerabilidad haya sido explotada.