クラウドメタデータ SSRF
クラウドメタデータ SSRF とは何ですか?
クラウドメタデータ SSRF脆弱なアプリを介してクラウド事業者のインスタンスメタデータサービスを問い合わせさせ、一時的な資格情報を盗むサーバーサイドリクエストフォージェリ攻撃。
クラウドメタデータ SSRF は、ユーザーに代わって URL を取得するアプリケーションを悪用し、背後の仮想マシンに自身のインスタンスメタデータサービス(IMDS、通常 169.254.169.254)を問い合わせさせる攻撃です。応答には環境情報のほか、インスタンスロールに紐づく短命の IAM 資格情報が含まれます。2019 年の Capital One 漏洩事件(Paige Thompson に帰属)は、設定不備の AWS WAF に対しこの手法を使って資格情報を取得し、S3 から 1 億件以上の顧客レコードをダウンロードしました。対策としてはセッショントークン付きの IMDSv2 強制、169.254.169.254 への出口フィルタリング、最小権限のインスタンスロール、厳格な SSRF 入力検証が挙げられます。
● 例
- 01
画像リサイズ用エンドポイントが http://169.254.169.254/latest/meta-data/iam/security-credentials/ を取得し、ロール資格情報を盗む。
- 02
Capital One 2019: 脆弱な WAF に対する SSRF が AWS キーを返し、後に S3 バケットの読み出しに使われた。
● よくある質問
クラウドメタデータ SSRF とは何ですか?
脆弱なアプリを介してクラウド事業者のインスタンスメタデータサービスを問い合わせさせ、一時的な資格情報を盗むサーバーサイドリクエストフォージェリ攻撃。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドメタデータ SSRF とはどういう意味ですか?
脆弱なアプリを介してクラウド事業者のインスタンスメタデータサービスを問い合わせさせ、一時的な資格情報を盗むサーバーサイドリクエストフォージェリ攻撃。
クラウドメタデータ SSRF はどのように機能しますか?
クラウドメタデータ SSRF は、ユーザーに代わって URL を取得するアプリケーションを悪用し、背後の仮想マシンに自身のインスタンスメタデータサービス(IMDS、通常 169.254.169.254)を問い合わせさせる攻撃です。応答には環境情報のほか、インスタンスロールに紐づく短命の IAM 資格情報が含まれます。2019 年の Capital One 漏洩事件(Paige Thompson に帰属)は、設定不備の AWS WAF に対しこの手法を使って資格情報を取得し、S3 から 1 億件以上の顧客レコードをダウンロードしました。対策としてはセッショントークン付きの IMDSv2 強制、169.254.169.254 への出口フィルタリング、最小権限のインスタンスロール、厳格な SSRF 入力検証が挙げられます。
クラウドメタデータ SSRF からどのように防御しますか?
クラウドメタデータ SSRF に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドメタデータ SSRF の別名は何ですか?
一般的な別名: インスタンスメタデータ SSRF, IMDS SSRF。
● 関連用語
- cloud-security№ 079
AWS IMDSv1 攻撃
通常は SSRF を介して、レガシーの IMDSv1 エンドポイントに未認証の GET リクエストを送ることで EC2 インスタンスロールの資格情報を盗む攻撃。
- cloud-security№ 190
クラウドトークン窃取
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
- cloud-security№ 183
クラウドデータ流出
クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
- cloud-security№ 505
IAM 権限昇格
既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。
- attacks№ 1008
サーバーサイドリクエストフォージェリ(SSRF)
攻撃者がサーバーに任意の宛先(多くは内部システム)へ HTTP やその他のネットワークリクエストを送らせることができる Web 脆弱性。
● 関連項目
- № 211コンテナエスケープ