Cloud-Metadata-SSRF
Was ist Cloud-Metadata-SSRF?
Cloud-Metadata-SSRFServer-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
Cloud-Metadata-SSRF missbraucht eine Anwendung, die URLs im Auftrag des Nutzers abruft, um die zugrundeliegende VM dazu zu bringen, ihren Instance-Metadata-Service (IMDS) abzufragen, typischerweise unter 169.254.169.254. Die Antwort enthaelt Umgebungsdaten und vor allem kurzlebige IAM-Credentials, die an die Instance Role gebunden sind. Der Capital-One-Vorfall 2019, Paige Thompson zugeschrieben, nutzte diese Technik gegen eine fehlkonfigurierte AWS-WAF, um Credentials zu erbeuten und ueber hundert Millionen Kundendatensaetze aus S3 herunterzuladen. Gegenmassnahmen sind IMDSv2 mit Session-Tokens, Egress-Filter auf 169.254.169.254, minimale Instance-Rollen und strikte SSRF-Validierung.
● Beispiele
- 01
Ein Bildgroessen-Endpoint ruft http://169.254.169.254/latest/meta-data/iam/security-credentials/ ab und stiehlt Role-Credentials.
- 02
Capital One 2019: SSRF gegen eine verwundbare WAF liefert AWS-Schluessel, die zum Auslesen von S3-Buckets verwendet werden.
● Häufige Fragen
Was ist Cloud-Metadata-SSRF?
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Cloud-Metadata-SSRF?
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
Wie schützt man sich gegen Cloud-Metadata-SSRF?
Schutzmaßnahmen gegen Cloud-Metadata-SSRF kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cloud-Metadata-SSRF?
Übliche alternative Bezeichnungen: Instance-Metadata-SSRF, IMDS-SSRF.