Ataque a AWS IMDSv1
¿Qué es Ataque a AWS IMDSv1?
Ataque a AWS IMDSv1Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF.
El servicio de metadatos de instancia de AWS version 1 (IMDSv1) responde a cualquier peticion HTTP GET realizada desde la instancia EC2 a http://169.254.169.254, incluidas las reenviadas por una aplicacion vulnerable mediante SSRF. Los atacantes consultan /latest/meta-data/iam/security-credentials/<rol>/ y obtienen un AccessKeyId, SecretAccessKey y SessionToken temporales utilizables desde cualquier ubicacion. IMDSv2 mitiga el ataque exigiendo una peticion PUT para obtener un token de sesion, limitando el numero de saltos y bloqueando respuestas a llamantes externos. La buena practica es exigir IMDSv2 mediante plantillas de lanzamiento y valores por defecto, y vigilar CloudTrail en busca de uso anomalo del rol.
● Ejemplos
- 01
Un SSRF provoca curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ y filtra las credenciales.
- 02
Un atacante reutiliza credenciales temporales filtradas desde una maquina externa para listar buckets S3.
● Preguntas frecuentes
¿Qué es Ataque a AWS IMDSv1?
Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Ataque a AWS IMDSv1?
Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF.
¿Cómo funciona Ataque a AWS IMDSv1?
El servicio de metadatos de instancia de AWS version 1 (IMDSv1) responde a cualquier peticion HTTP GET realizada desde la instancia EC2 a http://169.254.169.254, incluidas las reenviadas por una aplicacion vulnerable mediante SSRF. Los atacantes consultan /latest/meta-data/iam/security-credentials/<rol>/ y obtienen un AccessKeyId, SecretAccessKey y SessionToken temporales utilizables desde cualquier ubicacion. IMDSv2 mitiga el ataque exigiendo una peticion PUT para obtener un token de sesion, limitando el numero de saltos y bloqueando respuestas a llamantes externos. La buena practica es exigir IMDSv2 mediante plantillas de lanzamiento y valores por defecto, y vigilar CloudTrail en busca de uso anomalo del rol.
¿Cómo defenderse de Ataque a AWS IMDSv1?
Las defensas contra Ataque a AWS IMDSv1 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque a AWS IMDSv1?
Nombres alternativos comunes: Robo de credenciales IMDSv1, Ataque a metadatos EC2.
● Términos relacionados
- cloud-security№ 187
SSRF al metadato de la nube
Ataque SSRF que abusa de una aplicacion vulnerable para consultar el servicio de metadatos de instancia del proveedor cloud y robar credenciales temporales.
- cloud-security№ 190
Robo de tokens en la nube
Robo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
- cloud-security№ 505
Escalada de privilegios IAM
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
- cloud-security№ 186
Filtracion de claves cloud
Exposicion accidental de claves cloud de larga duracion en repositorios publicos, imagenes de contenedor, logs o codigo cliente, a menudo abusadas en minutos.
- cloud-security№ 183
Exfiltracion de datos en la nube
Copia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante.