Атака на AWS IMDSv1
Что такое Атака на AWS IMDSv1?
Атака на AWS IMDSv1Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF.
Сервис метаданных инстанса AWS версии 1 (IMDSv1) отвечает на любой HTTP GET-запрос с инстанса EC2 к http://169.254.169.254, включая те, которые пересылает уязвимое к SSRF приложение. Атакующие запрашивают /latest/meta-data/iam/security-credentials/<role>/ и получают временные AccessKeyId, SecretAccessKey и SessionToken, пригодные для использования из любой точки. IMDSv2 смягчает атаку, требуя PUT-запрос для получения токена сессии, ограничивая hop limit и блокируя ответы внешним вызывающим сторонам. Лучшая практика — принудительно использовать IMDSv2 в launch templates и defaults и отслеживать CloudTrail на предмет аномального использования роли.
● Примеры
- 01
SSRF в веб-приложении приводит к curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole/ и утечке учетных данных.
- 02
Злоумышленник повторно использует утекшие временные учетные данные с внешней машины, чтобы перечислить бакеты S3.
● Частые вопросы
Что такое Атака на AWS IMDSv1?
Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Атака на AWS IMDSv1?
Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF.
Как защититься от Атака на AWS IMDSv1?
Защита от Атака на AWS IMDSv1 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на AWS IMDSv1?
Распространённые альтернативные названия: Кража учетных данных IMDSv1, Атака на метаданные EC2.