AWS-IMDSv1-Angriff
Was ist AWS-IMDSv1-Angriff?
AWS-IMDSv1-AngriffDiebstahl von EC2-Instance-Role-Credentials durch unauthentifizierte GET-Requests an den Legacy-Endpunkt IMDSv1, meist ueber SSRF.
Der AWS Instance Metadata Service in Version 1 (IMDSv1) beantwortet jeden HTTP-GET-Request, der von der EC2-Instanz an http://169.254.169.254 gerichtet wird, auch wenn er von einer SSRF-anfaelligen Anwendung weitergeleitet wurde. Angreifer rufen /latest/meta-data/iam/security-credentials/<role>/ auf und erhalten temporaere AccessKeyId, SecretAccessKey und SessionToken, die ueberall mit AWS-APIs nutzbar sind. IMDSv2 entschaerft den Angriff, indem es einen PUT-Request fuer ein Session-Token verlangt, den Hop-Limit begrenzt und Antworten an Off-Instance-Caller blockiert. Best Practice ist die clusterweite Erzwingung von IMDSv2 ueber Launch Templates und Defaults sowie das Monitoring von CloudTrail.
● Beispiele
- 01
Eine SSRF-Luecke laesst curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ Credentials preisgeben.
- 02
Ein Angreifer verwendet die geleakten temporaeren Credentials von einer externen Maschine, um S3-Buckets aufzulisten.
● Häufige Fragen
Was ist AWS-IMDSv1-Angriff?
Diebstahl von EC2-Instance-Role-Credentials durch unauthentifizierte GET-Requests an den Legacy-Endpunkt IMDSv1, meist ueber SSRF. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet AWS-IMDSv1-Angriff?
Diebstahl von EC2-Instance-Role-Credentials durch unauthentifizierte GET-Requests an den Legacy-Endpunkt IMDSv1, meist ueber SSRF.
Wie funktioniert AWS-IMDSv1-Angriff?
Der AWS Instance Metadata Service in Version 1 (IMDSv1) beantwortet jeden HTTP-GET-Request, der von der EC2-Instanz an http://169.254.169.254 gerichtet wird, auch wenn er von einer SSRF-anfaelligen Anwendung weitergeleitet wurde. Angreifer rufen /latest/meta-data/iam/security-credentials/<role>/ auf und erhalten temporaere AccessKeyId, SecretAccessKey und SessionToken, die ueberall mit AWS-APIs nutzbar sind. IMDSv2 entschaerft den Angriff, indem es einen PUT-Request fuer ein Session-Token verlangt, den Hop-Limit begrenzt und Antworten an Off-Instance-Caller blockiert. Best Practice ist die clusterweite Erzwingung von IMDSv2 ueber Launch Templates und Defaults sowie das Monitoring von CloudTrail.
Wie schützt man sich gegen AWS-IMDSv1-Angriff?
Schutzmaßnahmen gegen AWS-IMDSv1-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für AWS-IMDSv1-Angriff?
Übliche alternative Bezeichnungen: IMDSv1-Credential-Diebstahl, EC2-Metadata-Angriff.
● Verwandte Begriffe
- cloud-security№ 187
Cloud-Metadata-SSRF
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
- cloud-security№ 190
Cloud-Token-Diebstahl
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
- cloud-security№ 505
IAM-Privilege-Escalation
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
- cloud-security№ 186
Cloud-Key-Leak
Versehentliches Veroeffentlichen langlebiger Cloud-Zugangsschluessel in oeffentlichen Repositories, Container-Images, Logs oder Client-Code, oft binnen Minuten ausgenutzt.
- cloud-security№ 183
Cloud-Datenexfiltration
Unbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten.