据云安全公司 Lightspin 称,Amazon Elastic Container Registry (ECR) Public Gallery 中披露了一个严重的安全漏洞,该漏洞可能被利用来发动大量攻击。
“通过利用此漏洞,恶意行为者可以删除 Amazon ECR 公共画廊中的所有图像或更新图像内容以注入恶意代码,”Lightspin 安全研究主管 Gafnit Amiga 在与黑客新闻分享的一份报告中表示。
“这种恶意代码在任何拉取和运行图像的机器上执行,无论是在用户的本地机器、Kubernetes 集群还是云环境中。”
ECR 是由 Amazon Web Services 管理的容器镜像注册服务,使用户能够将代码打包为 Docker 镜像并以可扩展的方式部署工件。托管在 ECR 上的公共存储库显示在所谓的ECR 公共画廊中。
“默认情况下,您的帐户对公共注册表中的存储库具有读写权限,”亚马逊在其文档中指出。“但是,IAM 用户需要权限才能调用 Amazon ECR API 并将图像推送到您的存储库。”
但 Lightspin 发现的问题意味着它可以被外部参与者武器化,通过利用未记录的内部 ECR 公共 API,在属于其他 AWS 账户的注册表和存储库中删除、更新和创建合法图像的中毒版本。
这是通过使用Amazon Cognito获取临时凭证来授权对内部 API 的请求并使用“DeleteImageForConvergentReplicationInternal”激活删除图像的操作,或者通过“PutImageForConvergentReplicationInternal”操作推送新图像来实现的。
Lightspin 将该漏洞描述为“深度软件供应链攻击”的一个实例。
截至 2022 年 11 月 16 日,亚马逊已经部署了一个修复程序来解决漏洞,这表明问题的严重性是在报告后不到 24 小时。无需客户操作。
“此漏洞可能会导致拒绝服务、数据泄露、横向移动、特权升级、数据破坏和其他仅受对手的狡猾和目标限制的多变量攻击路径,”Amiga 指出。
“恶意行为者可能会毒化流行图像,同时滥用 ECR Public 的信任模型,因为这些图像会伪装成经过验证,从而破坏 ECR Public 供应链。”
