Ataque a AWS IMDSv1
¿Qué es Ataque a AWS IMDSv1?
Ataque a AWS IMDSv1Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF.
El servicio de metadatos de instancia de AWS version 1 (IMDSv1) responde a cualquier peticion HTTP GET realizada desde la instancia EC2 a http://169.254.169.254, incluidas las reenviadas por una aplicacion vulnerable mediante SSRF. Los atacantes consultan /latest/meta-data/iam/security-credentials/<rol>/ y obtienen un AccessKeyId, SecretAccessKey y SessionToken temporales utilizables desde cualquier ubicacion. IMDSv2 mitiga el ataque exigiendo una peticion PUT para obtener un token de sesion, limitando el numero de saltos y bloqueando respuestas a llamantes externos. La buena practica es exigir IMDSv2 mediante plantillas de lanzamiento y valores por defecto, y vigilar CloudTrail en busca de uso anomalo del rol.
● Ejemplos
- 01
Un SSRF provoca curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ y filtra las credenciales.
- 02
Un atacante reutiliza credenciales temporales filtradas desde una maquina externa para listar buckets S3.
● Preguntas frecuentes
¿Qué es Ataque a AWS IMDSv1?
Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Ataque a AWS IMDSv1?
Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF.
¿Cómo defenderse de Ataque a AWS IMDSv1?
Las defensas contra Ataque a AWS IMDSv1 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque a AWS IMDSv1?
Nombres alternativos comunes: Robo de credenciales IMDSv1, Ataque a metadatos EC2.