Атака на AWS IMDSv1
Что такое Атака на AWS IMDSv1?
Атака на AWS IMDSv1Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF.
Сервис метаданных инстанса AWS версии 1 (IMDSv1) отвечает на любой HTTP GET-запрос с инстанса EC2 к http://169.254.169.254, включая те, которые пересылает уязвимое к SSRF приложение. Атакующие запрашивают /latest/meta-data/iam/security-credentials/<role>/ и получают временные AccessKeyId, SecretAccessKey и SessionToken, пригодные для использования из любой точки. IMDSv2 смягчает атаку, требуя PUT-запрос для получения токена сессии, ограничивая hop limit и блокируя ответы внешним вызывающим сторонам. Лучшая практика — принудительно использовать IMDSv2 в launch templates и defaults и отслеживать CloudTrail на предмет аномального использования роли.
● Примеры
- 01
SSRF в веб-приложении приводит к curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ и утечке учетных данных.
- 02
Злоумышленник повторно использует утекшие временные учетные данные с внешней машины, чтобы перечислить бакеты S3.
● Частые вопросы
Что такое Атака на AWS IMDSv1?
Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Атака на AWS IMDSv1?
Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF.
Как работает Атака на AWS IMDSv1?
Сервис метаданных инстанса AWS версии 1 (IMDSv1) отвечает на любой HTTP GET-запрос с инстанса EC2 к http://169.254.169.254, включая те, которые пересылает уязвимое к SSRF приложение. Атакующие запрашивают /latest/meta-data/iam/security-credentials/<role>/ и получают временные AccessKeyId, SecretAccessKey и SessionToken, пригодные для использования из любой точки. IMDSv2 смягчает атаку, требуя PUT-запрос для получения токена сессии, ограничивая hop limit и блокируя ответы внешним вызывающим сторонам. Лучшая практика — принудительно использовать IMDSv2 в launch templates и defaults и отслеживать CloudTrail на предмет аномального использования роли.
Как защититься от Атака на AWS IMDSv1?
Защита от Атака на AWS IMDSv1 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на AWS IMDSv1?
Распространённые альтернативные названия: Кража учетных данных IMDSv1, Атака на метаданные EC2.
● Связанные термины
- cloud-security№ 187
SSRF к облачным метаданным
Атака подделки серверных запросов, при которой через уязвимое приложение виртуальная машина обращается к сервису метаданных облачного провайдера и крадет временные учетные данные.
- cloud-security№ 190
Кража облачных токенов
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
- cloud-security№ 505
Повышение привилегий IAM
Злоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
- cloud-security№ 186
Утечка облачных ключей
Случайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут.
- cloud-security№ 183
Утечка данных из облака
Несанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты.