Antonela Arenas

Si administrás servidores en la nube con Amazon Web Services (AWS), esto es algo que no podés pasar por alto. Investigadores de DataDog (al final de la nota les contaré quiénes son) descubrieron una vulnerabilidad que permite a cualquier usuario con una cuenta de AWS ejecutar código en sistemas ajenos sin necesidad de explotar credenciales o vulnerabilidades tradicionales.

El ataque, llamado whoAMI, se basa en una confusión de nombres en la selección de Amazon Machine Images (AMIs), lo que permite a los atacantes introducir imágenes maliciosas en infraestructuras desprevenidas.

Amazon corrigió el problema en sus sistemas en septiembre de 2024, pero la responsabilidad sigue recayendo en cada usuario. Si tu entorno de AWS no está configurado correctamente, podrías estar en riesgo.

¿Cómo funciona este ataque?

Las AMIs son imágenes de máquinas virtuales que incluyen un sistema operativo y software preconfigurado, utilizadas para desplegar instancias EC2 en AWS.

Cada AMI tiene un ID único, pero muchas empresas y desarrolladores las buscan por nombre dentro del catálogo de AWS. El problema es que si no se especifica el propietario, AWS muestra todas las coincidencias, incluyendo las de actores malintencionados.

Los errores más comunes que permiten este ataque

No filtrar por propietario en ec2:DescribeImages
• Si no se indica explícitamente quién publicó la AMI, AWS devuelve todas las que coincidan con el nombre, incluyendo las fraudulentas.

Uso de comodines en lugar de IDs específicos
• Muchos scripts buscan AMIs por nombres genéricos en vez de referenciar un ID concreto, aumentando la posibilidad de seleccionar una imagen maliciosa.

Uso de “most_recent=true” sin restricciones
• Herramientas como Terraform permiten configurar most_recent=true, lo que hace que siempre se seleccione la AMI más reciente. Si un atacante publica una imagen con un nombre similar a una confiable, podría ser elegida automáticamente.

Un ataque basado en la confianza

Para que una AMI maliciosa se ejecute en un entorno ajeno, el atacante no necesita vulnerar ninguna cuenta. Solo tiene que:

• Crear una cuenta en AWS.
• Publicar una AMI pública con un nombre similar a una legítima.
• Esperar a que algún sistema la seleccione de manera automática.
• Al no haber verificación de propiedad en la búsqueda, AWS devuelve todas las coincidencias, y si el sistema usa most_recent=true, la imagen maliciosa puede ser elegida sin intervención humana.
• Según DataDog, aproximadamente el 1% de las organizaciones monitoreadas están en riesgo, pero se estima que el impacto real es mucho mayor.

La respuesta de Amazon Web Services y las nuevas medidas de seguridad

• AWS corrigió la vulnerabilidad en sus propios entornos el 19 de septiembre de 2024.

• Se introdujo “Allowed AMIs” en diciembre, una funcionalidad que permite definir qué imágenes son de confianza.

• Terraform, desde la versión 5.77, alerta a los usuarios cuando se usa most_recent=true sin definir el propietario. En la versión 6.0, esta configuración será obligatoria.

Cómo proteger tu infraestructura

• Siempre especificá el propietario de la AMI cuando uses ec2:DescribeImages.

• Activá la opción “Allowed AMIs” en: AWS Console ? EC2 ? Account Attributes ? Allowed AMIs

• Auditá tus configuraciones y scripts en Terraform, AWS CLI, Python Boto3 y Go AWS SDK.

• Habilitá “Audit Mode” en AWS para detectar AMIs no confiables y luego activá “Enforcement Mode” para bloquearlas

Datos interesantes sobre seguridad en la nube

En 2019, Capital One sufrió una filtración de datos de 100 millones de clientes debido a una configuración incorrecta en un firewall de AWS.

IBM reportó que el 85% de los incidentes en la nube son causados por errores de configuración y no por fallos en el software.

Amazon S3 ha sido utilizado en múltiples ataques para filtrar información, debido a que muchos usuarios dejan sus buckets con acceso público sin darse cuenta.

AWS es una plataforma poderosa, pero si no se configuran correctamente las medidas de seguridad, puede convertirse en un riesgo. Si trabajás con AMIs, revisá tus configuraciones y evitá caer en un ataque que podría haberse prevenido con unos pocos ajustes.

Te cuento un poco sobre DataDog

DataDog es una plataforma de monitoreo y seguridad para infraestructura en la nube, aplicaciones y logs. Ofrece herramientas para la observabilidad en tiempo real, ayudando a empresas a detectar problemas de rendimiento, vulnerabilidades y anomalías en sus sistemas.

Se integra con múltiples servicios como AWS, Azure, Kubernetes y Docker, permitiendo a los equipos de TI visualizar métricas, rastrear eventos y responder rápidamente a incidentes. Además, cuenta con funciones de detección de amenazas, monitoreo de logs y APM (Application Performance Monitoring), lo que la convierte en una solución clave para la seguridad y el rendimiento en entornos de nube y DevOps.