Ataque a AWS IMDSv1
O que é Ataque a AWS IMDSv1?
Ataque a AWS IMDSv1Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
O AWS Instance Metadata Service versao 1 (IMDSv1) responde a qualquer pedido HTTP GET feito a partir da instancia EC2 para http://169.254.169.254, incluindo os reencaminhados por uma aplicacao vulneravel a SSRF. Os atacantes consultam /latest/meta-data/iam/security-credentials/<papel>/ para obter um AccessKeyId, SecretAccessKey e SessionToken temporarios utilizaveis a partir de qualquer lugar. O IMDSv2 mitiga o ataque exigindo um pedido PUT para obter um token de sessao, limitando o numero de saltos e bloqueando respostas para chamadores externos. A boa pratica e forcar o IMDSv2 atraves de launch templates e padroes de instancia, e monitorizar o CloudTrail para uso anormal do papel.
● Exemplos
- 01
Um SSRF numa aplicacao web provoca curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ e expoe as credenciais.
- 02
Um atacante reutiliza credenciais temporarias fugadas a partir de uma maquina externa para listar buckets S3.
● Perguntas frequentes
O que é Ataque a AWS IMDSv1?
Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Ataque a AWS IMDSv1?
Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
Como funciona Ataque a AWS IMDSv1?
O AWS Instance Metadata Service versao 1 (IMDSv1) responde a qualquer pedido HTTP GET feito a partir da instancia EC2 para http://169.254.169.254, incluindo os reencaminhados por uma aplicacao vulneravel a SSRF. Os atacantes consultam /latest/meta-data/iam/security-credentials/<papel>/ para obter um AccessKeyId, SecretAccessKey e SessionToken temporarios utilizaveis a partir de qualquer lugar. O IMDSv2 mitiga o ataque exigindo um pedido PUT para obter um token de sessao, limitando o numero de saltos e bloqueando respostas para chamadores externos. A boa pratica e forcar o IMDSv2 atraves de launch templates e padroes de instancia, e monitorizar o CloudTrail para uso anormal do papel.
Como se defender contra Ataque a AWS IMDSv1?
As defesas contra Ataque a AWS IMDSv1 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque a AWS IMDSv1?
Nomes alternativos comuns: Roubo de credenciais IMDSv1, Ataque a metadados EC2.
● Termos relacionados
- cloud-security№ 187
SSRF de metadados na nuvem
Ataque SSRF que abusa de uma aplicacao vulneravel para consultar o servico de metadados de instancia do provedor de nuvem e roubar credenciais temporarias.
- cloud-security№ 190
Roubo de tokens na nuvem
Roubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
- cloud-security№ 505
Escalonamento de privilegios IAM
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
- cloud-security№ 186
Fuga de chaves cloud
Exposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
- cloud-security№ 183
Exfiltracao de dados na nuvem
Copia ou transferencia nao autorizada de dados para fora de uma conta cloud, normalmente via APIs de armazenamento, snapshots, replicacao ou contas controladas pelo atacante.