في عالم يزداد اعتمادًا على الحوسبة السحابية، تتعرض منصات مثل أمازون ويب سيرفيسز (AWS) لموجات متزايدة من الهجمات السيبرانية. من بين هذه الهجمات، ظهر مؤخرًا نوع جديد من الهجمات يُسمى “whoAMI”، والذي يكشف عن ثغرات خطيرة في آلية تشغيل الصور الآلية (AMI) في AWS.

ما هو هجوم “whoAMI” وكيف يعمل؟

يُعتبر هجوم “whoAMI” نوعًا من هجمات سلسلة التوريد التي تستغل ثغرات في عملية اختيار واستخدام صور AMI من قبل المطورين. تعتمد هذه الهجمات على نشر صورة آلية خبيثة في كتالوج المجتمع لـ AWS، وجعل البرمجيات المُعدّة بشكل سيئ تستخدمها بدلاً من الصورة الصحيحة.

يتطلب هذا الهجوم توفر ثلاثة شروط رئيسية: استخدام فلتر الاسم، عدم تحديد مالك الصورة أو اسم المالك أو معرف المالك، واختيار الصورة الأحدث من قائمة الصور المطابقة. إذا تم تلبية هذه الشروط، يمكن للمهاجمين تشغيل كود ضار على مثيلات EC2، مما يمنحهم القدرة على تنفيذ العديد من الإجراءات الخبيثة بعد الاستغلال.

الآثار الأمنية والمخاطر المرتبطة

يُعتبر هجوم “whoAMI” خطرًا كبيرًا لأنه يمكن أن يؤثر على آلاف الحسابات إذا نُفذ على نطاق واسع. وفقًا لتقرير صادر عن مختبرات أمان داتادوغ، فإن حوالي 1% من المنظمات التي تراقبها الشركة تأثرت بهذا الهجوم. وقد وُجدت أمثلة عامة على الكود المكتوب بلغات مثل بايثون (Python) وجو (Go) وجافا (Java) وتيرافورم (Terraform) وبولومي (Pulumi) وباش (Bash) باستخدام المعايير الضعيفة.

كيفية الحماية وتدابير الأمان الحديثة

في أعقاب الكشف عن هذه الثغرة في سبتمبر 2024، قامت أمازون بتقديم إعداد جديد يُسمى “Allowed AMIs” يسمح للعملاء بتقييد اكتشاف واستخدام صور AMI داخل حساباتهم. كما بدأت تيرافورم في إصدار تحذيرات للمستخدمين عند استخدام “most_recent = true” دون فلتر مالك، مع خطط لترقية التحذير إلى خطأ في الإصدار 6.0.0.

تحليل الخبراء والتوجهات المستقبلية

تُظهر هذه الحادثة أهمية تحسين ممارسات الأمان في إدارة الحوسبة السحابية. يجب على المؤسسات تبني إطار عمل أمني شامل يتضمن التحديث المستمر للبرمجيات، وفحص الكود، وتدريب الموظفين على أفضل ممارسات الأمان.

هل تعتقد أن هناك تكنولوجيا أخرى تحتاج إلى تحسينات أمنية مماثلة؟ شاركنا رأيك عبر تويتر وفيسبوك.