严重攻击可能已通过此Amazon ECR公共库漏洞分级

根据云安全公司Lightspin的说法，亚马逊弹性容器注册（ECR）公共库中披露了一个严重的安全漏洞，该漏洞可能被利用来发动大量攻击。

Lightspin安全研究主管Gafnit Amiga在与《黑客新闻》分享的一份报告中表示：“通过利用该漏洞，恶意攻击者可以删除亚马逊ECR公共库中的所有图像，或更新图像内容以注入恶意代码”。

“无论是在用户的本地机器、Kubernetes集群还是云环境中，任何拉取并运行映像的机器都会执行此恶意代码”。

ECR是由AmazonWebServices管理的容器映像注册服务，使用户能够将代码打包为Docker映像，并以可扩展的方式部署工件。ECR上托管的公共存储库显示在所谓的ECR公共库中。

亚马逊在其文档中指出：“默认情况下，您的帐户具有对公共注册表中存储库的读写权限。”。“但是，IAM用户需要访问Amazon ECR API和将图像推送到存储库的权限”。

但Lightspin发现的问题意味着，外部参与者可以利用未记录的内部ECR公共API，在属于其他AWS帐户的注册表和存储库中删除、更新和创建合法图像的中毒版本，从而将其武器化。

这可以通过使用Amazon Cognito获取临时凭据来授权对内部API的请求，并使用“DeleteImageForConvergentReplicationInternal”激活删除图像的操作，或者通过“PutImageForConvengentReplicationinternal”操作推送新图像来实现。

Lightspin将该漏洞描述为“深度软件供应链攻击”的一个实例

自2022年11月16日以来，亚马逊已部署了一项修复措施，以解决该弱点，这表明问题的严重性。无需客户操作。

阿米加指出：“该漏洞可能导致拒绝服务、数据泄露、横向移动、权限升级、数据破坏和其他多变量攻击路径，而这些攻击路径仅限于对手的狡猾和目标”。

“恶意行为者可能会毒害流行的图像，同时滥用ECR Public的信任模型，因为这些图像会伪装成经过验证，从而破坏ECR Public供应链”。