Ataque a AWS IMDSv1
O que é Ataque a AWS IMDSv1?
Ataque a AWS IMDSv1Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
O AWS Instance Metadata Service versao 1 (IMDSv1) responde a qualquer pedido HTTP GET feito a partir da instancia EC2 para http://169.254.169.254, incluindo os reencaminhados por uma aplicacao vulneravel a SSRF. Os atacantes consultam /latest/meta-data/iam/security-credentials/<papel>/ para obter um AccessKeyId, SecretAccessKey e SessionToken temporarios utilizaveis a partir de qualquer lugar. O IMDSv2 mitiga o ataque exigindo um pedido PUT para obter um token de sessao, limitando o numero de saltos e bloqueando respostas para chamadores externos. A boa pratica e forcar o IMDSv2 atraves de launch templates e padroes de instancia, e monitorizar o CloudTrail para uso anormal do papel.
● Exemplos
- 01
Um SSRF numa aplicacao web provoca curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ e expoe as credenciais.
- 02
Um atacante reutiliza credenciais temporarias fugadas a partir de uma maquina externa para listar buckets S3.
● Perguntas frequentes
O que é Ataque a AWS IMDSv1?
Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Ataque a AWS IMDSv1?
Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
Como se defender contra Ataque a AWS IMDSv1?
As defesas contra Ataque a AWS IMDSv1 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque a AWS IMDSv1?
Nomes alternativos comuns: Roubo de credenciais IMDSv1, Ataque a metadados EC2.