Cloud-Metadata-SSRF
Was ist Cloud-Metadata-SSRF?
Cloud-Metadata-SSRFServer-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
Cloud-Metadata-SSRF missbraucht eine Anwendung, die URLs im Auftrag des Nutzers abruft, um die zugrundeliegende VM dazu zu bringen, ihren Instance-Metadata-Service (IMDS) abzufragen, typischerweise unter 169.254.169.254. Die Antwort enthaelt Umgebungsdaten und vor allem kurzlebige IAM-Credentials, die an die Instance Role gebunden sind. Der Capital-One-Vorfall 2019, Paige Thompson zugeschrieben, nutzte diese Technik gegen eine fehlkonfigurierte AWS-WAF, um Credentials zu erbeuten und ueber hundert Millionen Kundendatensaetze aus S3 herunterzuladen. Gegenmassnahmen sind IMDSv2 mit Session-Tokens, Egress-Filter auf 169.254.169.254, minimale Instance-Rollen und strikte SSRF-Validierung.
● Beispiele
- 01
Ein Bildgroessen-Endpoint ruft http://169.254.169.254/latest/meta-data/iam/security-credentials/ ab und stiehlt Role-Credentials.
- 02
Capital One 2019: SSRF gegen eine verwundbare WAF liefert AWS-Schluessel, die zum Auslesen von S3-Buckets verwendet werden.
● Häufige Fragen
Was ist Cloud-Metadata-SSRF?
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Cloud-Metadata-SSRF?
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
Wie funktioniert Cloud-Metadata-SSRF?
Cloud-Metadata-SSRF missbraucht eine Anwendung, die URLs im Auftrag des Nutzers abruft, um die zugrundeliegende VM dazu zu bringen, ihren Instance-Metadata-Service (IMDS) abzufragen, typischerweise unter 169.254.169.254. Die Antwort enthaelt Umgebungsdaten und vor allem kurzlebige IAM-Credentials, die an die Instance Role gebunden sind. Der Capital-One-Vorfall 2019, Paige Thompson zugeschrieben, nutzte diese Technik gegen eine fehlkonfigurierte AWS-WAF, um Credentials zu erbeuten und ueber hundert Millionen Kundendatensaetze aus S3 herunterzuladen. Gegenmassnahmen sind IMDSv2 mit Session-Tokens, Egress-Filter auf 169.254.169.254, minimale Instance-Rollen und strikte SSRF-Validierung.
Wie schützt man sich gegen Cloud-Metadata-SSRF?
Schutzmaßnahmen gegen Cloud-Metadata-SSRF kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cloud-Metadata-SSRF?
Übliche alternative Bezeichnungen: Instance-Metadata-SSRF, IMDS-SSRF.
● Verwandte Begriffe
- cloud-security№ 079
AWS-IMDSv1-Angriff
Diebstahl von EC2-Instance-Role-Credentials durch unauthentifizierte GET-Requests an den Legacy-Endpunkt IMDSv1, meist ueber SSRF.
- cloud-security№ 190
Cloud-Token-Diebstahl
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
- cloud-security№ 183
Cloud-Datenexfiltration
Unbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten.
- cloud-security№ 505
IAM-Privilege-Escalation
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
- attacks№ 1008
Server-Side-Request-Forgery (SSRF)
Web-Schwachstelle, die einem Angreifer erlaubt, einen Server zu HTTP- oder anderen Netzwerkanfragen an seine gewünschten Ziele zu zwingen, oft zu internen Systemen.
● Siehe auch
- № 211Container Escape