Kant's IT/Issue on IT&Security
whoAMI 공격: AWS 계정 내 원격 코드 실행 가능성 경고
Kant Jo
2025. 3. 2. 17:09
whoAMI attack could allow remote code execution within AWS account
whoAMI attack could allow remote code execution within AWS account
Researchers warn that the whoAMI attack lets attackers publish an AMI with a specific name to execute code in an AWS account.
securityaffairs.com
- whoAMI 공격 개요
- Datadog Security Labs 연구팀이 발견한 새로운 이름 혼동 공격 기법으로, Amazon Machine Image (AMI)를 악용하여 AWS 계정 내에서 임의의 코드를 실행할 수 있음
- 공격자는 특정 이름을 가진 AMI를 Community AMI 카탈로그에 게시하여, 자동화된 쿼리에서 최상위 결과로 표시되도록 함
- 약 1%의 조직이 이러한 공격에 취약할 것으로 추정됨
- Amazon Machine Image (AMI)란?
- AMI는 Elastic Compute Cloud (EC2) 인스턴스를 시작할 때 사용하는 가상 머신 이미지
- 사용자는 AMI ID를 지정하거나 AWS API를 통해 최신 버전을 검색할 수 있음
- AMI를 Community AMI 카탈로그에 누구나 게시할 수 있음
- whoAMI 공격 기법
- 공격자는 이름 필터를 사용하지만 소유자(owner), 소유자 별칭(owner-alias), 소유자 ID(owner-id) 매개변수를 지정하지 않은 경우를 노림
- 최근 생성된 이미지가 자동화된 쿼리의 최상위에 표시되는 점을 악용
- 예: 공격자는 "ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-whoAMI"와 같은 이름을 가진 악성 AMI를 게시하여 자동화된 시스템에 선택되도록 유도
- 공격 예시
- 피해자가 AMI 검색 시 소유자 필터를 지정하지 않으면, 공격자가 만든 악성 AMI가 검색 결과 상단에 표시됨
- 이 악성 AMI에는 C2(명령제어) 백도어가 사전에 설치되어 있어, 공격자가 원격으로 코드를 실행할 수 있음
- AWS의 대응 및 보안 권고
- AWS는 "Allowed AMIs" 기능을 도입하여 whoAMI 공격을 방지할 수 있는 새로운 가드레일을 제공
- HashiCorp도 terraform-aws-provider 5.77 버전에서 "most_recent=true" 사용 시 소유자 필터를 설정하지 않으면 경고 메시지를 표시하도록 수정
- 향후 6.0 버전에서는 이러한 설정이 오류를 발생시키도록 강화 예정
- 보안 권고
- AMI 검색 시 반드시 소유자(owner), 소유자 별칭(owner-alias), 소유자 ID(owner-id) 필터를 설정
- AWS의 "Allowed AMIs" 기능을 적극적으로 사용하여 비인가된 AMI 사용을 차단
- 자동화된 스크립트나 인프라 코드에서 AMI 검색 시 최신 이미지 사용 설정("most_recent=true")을 신중하게 활용
- AWS 계정 내에서 사용 중인 모든 AMI를 재검토하고, 의심스러운 이미지를 제거하거나 격리
- 결론
- whoAMI 공격은 단순한 설정 실수로도 원격 코드 실행과 같은 심각한 보안 위협을 초래할 수 있음
- 기업은 AWS의 새로운 보안 기능과 설정을 활용하여 이러한 위협을 사전에 차단해야 함
- 특히 자동화된 인프라 관리 도구를 사용하는 경우, 적절한 필터링 및 검증 절차를 마련해야 함