Serangan whoAMI: Ancaman Eksekusi Kode pada Amazon EC2 dan Langkah Mitigasinya

Pendahuluan

Dalam era komputasi awan, Amazon Web Services (AWS) telah menjadi tulang punggung bagi banyak organisasi yang mengandalkan infrastruktur cloud untuk operasional mereka. Namun, dengan popularitasnya, AWS juga menjadi target utama bagi penyerang siber. Salah satu ancaman terbaru yang teridentifikasi adalah serangan "whoAMI", yang memanfaatkan kerancuan penamaan Amazon Machine Image (AMI) untuk mendapatkan akses eksekusi kode pada instance Amazon Elastic Compute Cloud (EC2). Artikel ini akan membahas secara mendalam tentang serangan whoAMI, mekanismenya, dampaknya, dan langkah-langkah yang dapat diambil untuk mencegahnya.

Memahami Amazon EC2 dan AMI

Amazon EC2 adalah layanan yang menyediakan kapasitas komputasi yang dapat diskalakan di cloud AWS. Layanan ini memungkinkan pengguna untuk menjalankan virtual server, yang dikenal sebagai instance, dengan berbagai konfigurasi sesuai kebutuhan. Setiap instance EC2 didasarkan pada sebuah AMI, yaitu template yang berisi sistem operasi dan perangkat lunak yang diperlukan untuk menjalankan aplikasi tertentu. AMI dapat bersifat publik atau privat, dan masing-masing memiliki pengenal unik yang disebut AMI ID. Pengguna dapat mencari dan memilih AMI yang sesuai dari katalog AWS untuk meluncurkan instance EC2 mereka.

Apa Itu Serangan whoAMI?

Serangan whoAMI adalah jenis serangan yang memanfaatkan kerancuan penamaan pada AMI untuk menipu sistem agar menggunakan AMI yang tidak sah. Dalam skenario ini, penyerang membuat AMI dengan nama yang mirip atau identik dengan AMI tepercaya. Jika sistem atau pengguna tidak berhati-hati dalam memilih AMI berdasarkan ID dan hanya mengandalkan nama, mereka dapat secara tidak sengaja meluncurkan instance EC2 menggunakan AMI berbahaya yang dibuat oleh penyerang. Hal ini memberikan penyerang kemampuan untuk mengeksekusi kode dalam lingkungan AWS korban, yang dapat mengakibatkan pencurian data, eskalasi hak akses, atau kompromi lebih lanjut terhadap infrastruktur.

Mekanisme Serangan whoAMI

Serangan ini terjadi karena kesalahan konfigurasi dalam proses pemilihan AMI di lingkungan AWS. Berikut adalah langkah-langkah yang biasanya diambil oleh penyerang dalam melancarkan serangan whoAMI:

1. Pembuatan AMI Berbahaya: Penyerang membuat AMI publik dengan nama yang sama atau sangat mirip dengan AMI tepercaya yang sering digunakan oleh target.

2. Publikasi AMI: AMI berbahaya ini kemudian dipublikasikan di katalog AWS, sehingga dapat ditemukan oleh pengguna lain.

3. Eksploitasi Kerancuan Nama: Ketika pengguna atau sistem otomatis mencari AMI berdasarkan nama tanpa menyertakan atribut 'owners' atau memverifikasi ID AMI, ada kemungkinan besar mereka akan memilih AMI berbahaya yang dibuat oleh penyerang.

4. Peluncuran Instance Berbahaya: Setelah AMI berbahaya dipilih, instance EC2 yang diluncurkan akan menjalankan kode atau perangkat lunak yang telah disisipkan oleh penyerang, memberikan mereka akses ke lingkungan AWS korban.

Dampak Serangan whoAMI

Dampak dari serangan whoAMI bisa sangat merugikan, antara lain:

• Eksekusi Kode Arbitrer: Penyerang dapat menjalankan kode apa pun dalam instance EC2 korban, memungkinkan mereka untuk mengendalikan aplikasi dan data yang ada.

• Pencurian Data: Akses ke instance EC2 dapat digunakan untuk mencuri informasi sensitif, termasuk kredensial, data pelanggan, dan aset berharga lainnya.

• Eskalasi Hak Akses: Dengan akses awal, penyerang dapat mencari cara untuk meningkatkan hak akses mereka, mungkin hingga tingkat administratif, yang memungkinkan kontrol penuh atas lingkungan AWS korban.

• Kerugian Finansial dan Reputasi: Selain kerugian finansial langsung akibat pencurian atau kerusakan data, organisasi juga dapat mengalami kerugian reputasi yang signifikan, yang dapat berdampak jangka panjang pada bisnis mereka.

Studi Kasus: Implementasi Serangan whoAMI

Pada Agustus 2024, peneliti keamanan dari DataDog mengidentifikasi potensi serangan whoAMI dengan menguji kerentanan ini di lingkungan AWS. Mereka menemukan bahwa dengan mempublikasikan AMI dengan nama yang sama seperti AMI tepercaya, mereka dapat menipu sistem yang salah dikonfigurasi untuk menggunakan AMI berbahaya tersebut. AWS segera menanggapi temuan ini dan pada September 2024, mereka merilis perbaikan untuk mengatasi kerentanan ini. Namun, penting untuk dicatat bahwa meskipun AWS telah menerapkan perbaikan, tanggung jawab untuk memastikan konfigurasi yang aman tetap berada di pihak pengguna. Organisasi yang tidak memperbarui kode atau konfigurasi mereka masih rentan terhadap serangan ini.

Langkah-Langkah Pencegahan

Untuk melindungi lingkungan AWS Anda dari serangan whoAMI, pertimbangkan langkah-langkah berikut:

1. Verifikasi ID AMI: Selalu gunakan AMI ID yang spesifik dan verifikasi sumbernya sebelum meluncurkan instance. Hindari memilih AMI hanya berdasarkan nama.

2. Gunakan Atribut 'Owners': Saat mencari AMI, sertakan atribut 'owners' untuk memastikan bahwa AMI berasal dari sumber tepercaya.

3. Implementasi Daftar AMI yang Diizinkan: Manfaatkan fitur 'Allowed AMIs' yang diperkenalkan oleh AWS pada Desember 2024. Fitur ini memungkinkan Anda membuat daftar akun AWS yang diizinkan sebagai penyedia AMI, mencegah penggunaan AMI dari sumber yang tidak dikenal.

4. Pembaruan dan Audit Rutin: Secara berkala tinjau dan perbarui proses peluncuran instance Anda untuk memastikan bahwa praktik terbaik diikuti dan konfigurasi tetap aman.