攻击者利用IMDS服务获取云环境初始访问权限
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
攻击者利用实例元数据服务(IMDS)漏洞,通过诱导应用程序查询IMDS端点获取短期令牌,从而窃取凭证和提升权限。IMDSv1存在服务器端请求伪造(SSRF)漏洞,攻击者可在未控制主机的情况下窃取凭证。防御措施包括强制使用IMDSv2、限制网络访问和应用最小权限原则,以降低风险。
🎯
关键要点
- 攻击者利用实例元数据服务(IMDS)漏洞,通过诱导应用程序查询IMDS端点获取短期令牌。
- IMDS服务是AWS、Azure和GCP虚拟机的核心组件,存在服务器端请求伪造(SSRF)漏洞。
- 攻击者可在未控制主机的情况下窃取基于角色的凭证。
- 通过筛选敏感元数据路径和检查暴露在互联网的实例,可以发现数据外泄行为。
- 实际案例验证了攻击手法的有效性,IMDSv2能够阻止部分攻击。
- 防御措施包括强制使用IMDSv2、限制网络访问和应用最小权限原则。
- 云安全团队应转向异常行为追踪,识别不应查询IMDS的进程并发出警报。
❓
延伸问答
IMDS服务的主要功能是什么?
IMDS服务旨在安全地为计算实例提供临时凭证。
攻击者如何利用IMDS漏洞进行攻击?
攻击者通过诱导应用程序查询IMDS端点获取短期令牌,从而窃取凭证和提升权限。
IMDSv1和IMDSv2有什么区别?
IMDSv1存在SSRF漏洞,而IMDSv2通过面向会话的令牌检索机制增强了安全性。
如何防御IMDS服务的攻击?
防御措施包括强制使用IMDSv2、限制网络访问和应用最小权限原则。
IMDS漏洞的实际案例有哪些?
两个案例包括pandoc软件的零日SSRF漏洞和ClickHouse的未认证配置攻击。
云安全团队应如何应对IMDS相关的异常行为?
云安全团队应转向异常行为追踪,识别不应查询IMDS的进程并发出警报。
➡️
