Attaque AWS IMDSv1
Qu'est-ce que Attaque AWS IMDSv1 ?
Attaque AWS IMDSv1Vol des identifiants de role d'instance EC2 via des requetes GET non authentifiees vers l'endpoint historique IMDSv1, generalement par SSRF.
Le service de metadonnees d'instance AWS version 1 (IMDSv1) repond a toute requete HTTP GET emise depuis l'instance EC2 vers http://169.254.169.254, y compris celles relayees par une application vulnerable au SSRF. Les attaquants interrogent /latest/meta-data/iam/security-credentials/<role>/ pour obtenir un AccessKeyId, un SecretAccessKey et un SessionToken temporaires reutilisables depuis n'importe ou. IMDSv2 attenue l'attaque en exigeant un PUT pour obtenir un jeton de session, en limitant le nombre de sauts et en bloquant les reponses vers des appelants externes. La bonne pratique est d'imposer IMDSv2 globalement via les launch templates et les defauts d'instance, et de surveiller CloudTrail pour detecter un usage anormal du role.
● Exemples
- 01
Un SSRF dans une application provoque curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ et expose les identifiants.
- 02
Un attaquant rejoue depuis une machine externe les credentials temporaires fuites pour lister des buckets S3.
● Questions fréquentes
Qu'est-ce que Attaque AWS IMDSv1 ?
Vol des identifiants de role d'instance EC2 via des requetes GET non authentifiees vers l'endpoint historique IMDSv1, generalement par SSRF. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Attaque AWS IMDSv1 ?
Vol des identifiants de role d'instance EC2 via des requetes GET non authentifiees vers l'endpoint historique IMDSv1, generalement par SSRF.
Comment fonctionne Attaque AWS IMDSv1 ?
Le service de metadonnees d'instance AWS version 1 (IMDSv1) repond a toute requete HTTP GET emise depuis l'instance EC2 vers http://169.254.169.254, y compris celles relayees par une application vulnerable au SSRF. Les attaquants interrogent /latest/meta-data/iam/security-credentials/<role>/ pour obtenir un AccessKeyId, un SecretAccessKey et un SessionToken temporaires reutilisables depuis n'importe ou. IMDSv2 attenue l'attaque en exigeant un PUT pour obtenir un jeton de session, en limitant le nombre de sauts et en bloquant les reponses vers des appelants externes. La bonne pratique est d'imposer IMDSv2 globalement via les launch templates et les defauts d'instance, et de surveiller CloudTrail pour detecter un usage anormal du role.
Comment se défendre contre Attaque AWS IMDSv1 ?
Les défenses contre Attaque AWS IMDSv1 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque AWS IMDSv1 ?
Noms alternatifs courants : Vol de credentials IMDSv1, Attaque metadonnees EC2.
● Termes liés
- cloud-security№ 187
SSRF sur metadonnees cloud
Attaque SSRF qui exploite une application vulnerable pour interroger le service de metadonnees de l'instance du fournisseur cloud et voler des identifiants temporaires.
- cloud-security№ 190
Vol de tokens cloud
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
- cloud-security№ 505
Escalade de privileges IAM
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
- cloud-security№ 186
Fuite de cles cloud
Exposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
- cloud-security№ 183
Exfiltration de donnees cloud
Copie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.