Amazon ECR(弹性容器注册表)公共库中的一个严重安全漏洞可能允许攻击者删除任何容器镜像或将恶意代码注入其他 AWS 账户的镜像。
Amazon ECR Public Gallery是一个容器镜像的公共存储库,用于共享即用型应用程序和流行的 Linux 发行版,例如 Nginx、EKS Distro、Amazon Linux、CloudWatch 代理和 Datadog 代理。
Lightspin 安全分析师在 ECR 公共画廊中发现了一个新缺陷,可以通过滥用未记录的 API 操作来修改其他用户的现有公共图像、图层、标签、注册表和存储库。
研究人员于 2022 年 11 月 15 日向 AWS Security 报告了该漏洞,亚马逊在不到 24 小时内推出了修复程序。
虽然没有迹象表明此漏洞在野外被滥用,但威胁行为者可能已将其用于针对许多用户的大规模供应链攻击。
ECR Public Gallery 中下载次数最多的前六名容器镜像的下载量已超过 130 亿次,因此任何恶意注入都可能导致“失控”感染。
Lightspin 表示,其分析表明,26% 的 Kubernetes 集群至少有一个 pod 从 ECR Public Gallery 中提取图像,因此影响可能很大。
利用未记录的 API 操作
Lightspin 的研究人员发现,ECR Public Gallery 有几个内部 API 操作用于支持特定命令和用户操作,但这些操作并未公开。
下面列出的这些 API 操作中有四个没有任何触发器,但它们在平台上仍然处于活动状态,因此可以被调用。
- DeleteImageForConvergentReplicationInternal
- DeleteTagForConvergentReplicationInternal
- PutImageForConvergentReplicationInternal
- PutLayerForConvergentReplicationInternal
在找出使用 Amazon Cognito 的临时凭证对 ECR 内部 API 进行身份验证的方法后,分析师伪造了可以接受的恶意 API 请求。
当然,要使上述工作正常,请求应该具有有效的 JSON 结构,并且由于没有这些 API 调用的文档,推断它需要一些实验。
在 Lightspin 报告中提供的概念验证示例中,该请求使用“DeleteImage”API 调用和公开可用的存储库和图像 ID 来擦除研究人员上传的公开可用图像。

研究人员将漏洞利用步骤嵌入到一个 Python 脚本中,因此该过程可以自动化以滥用未记录的 API 调用来攻击公共图像。
亚马逊的回应
亚马逊告诉 BleepingComputer,他们立即解决了 Lightspin 发现的问题,内部调查没有发现恶意行为者利用的迹象。
根据检查的日志和证据,这家互联网巨头确信没有客户账户、上传或其他资产受到损害。
亚马逊的完整声明如下:
2022 年 11 月 14 日,一名安全研究人员报告了 Amazon Elastic Container Registry (ECR) 公共库中的一个问题,这是一个用于查找和共享公共容器映像的公共网站。研究人员确定了一个 ECR API 操作,如果调用该操作,可能会启用对 ECR 公共画廊上可用图像的修改或删除。
截至 2022 年 11 月 15 日,已确定的问题已得到修复。我们对所有日志进行了详尽的分析。我们相信我们的审查是决定性的,并且与此问题相关的唯一活动是在研究人员拥有的帐户之间进行的。没有其他客户的帐户受到影响,并且不需要客户采取任何行动。我们要感谢 Lightspin 报告此问题。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Amazon ECR Public Gallery漏洞可能已擦除或毒化任何图像