威胁行为者一直在操纵实例元数据服务(IMDS)——这是一个旨在安全地为计算实例提供临时凭证的核心组件,以渗透和浏览云基础设施。
通过迫使毫无防备的应用程序查询IMDS端点,攻击者可以获取短期令牌,从而在受害者环境中实现凭证窃取、横向移动和权限提升。
利用IMDS服务
Wiz报告称,实例元数据服务运行在AWS、Azure和GCP虚拟机的核心位置,通过对特权地址169.254.169[.]254的HTTP请求暴露关键数据和IAM凭证。
虽然IMDSv2通过面向会话的令牌检索增强了安全性,但IMDSv1仍然容易受到服务器端请求伪造(SSRF)的攻击。
攻击者利用服务器端请求伪造(SSRF) 漏洞或配置不当的工作负载来代理IMDS调用,无需直接控制主机即可窃取基于角色的凭据。
通过建立合法客户端(如AWS SDK、EC2代理和nm-cloud-setup)的基准,研究人员可以隔离那些不常访问IMDS的进程。
对敏感元数据路径(例如,/latest/meta-data/iam/security-credentials/ 和 /computeMetadata/v1/instance/service-accounts/)进行过滤,并优先处理有互联网暴露的实例,可发现隐秘的侦察和数据泄露尝试。
两项现实世界的发现凸显了这种策略的有效性。首先,pandoc中存在一个零日服务端请求伪造漏洞(CVE-2025-51591),这使得恶意的HTML <iframe>标签能够查询/latest/meta-data/iam/info,从而暴露实例角色。
攻击者绕过了推荐的–raw_html和–sandbox标志,但IMDSv2的实施通过使无状态GET请求失效,挫败了他们的有效载荷。如果当时使用的是IMDSv1,该漏洞利用本会导致凭证被完全泄露。
第二项发现涉及在未经验证的设置中使用ClickHouse的SELECT * FROM url函数。
通过向IMDS发送URL查询,攻击者可以获取元数据令牌。尽管谷歌云平台环境中的这一特定事件因权限有限而失败,但它凸显了由服务器端请求伪造(SSRF)驱动的IMDS滥用所带来的与云平台无关的风险。
Wiz表示,一个配置错误且具有S3访问权限的ClickHouse实例很容易引发重大数据泄露。
对于防御者而言,主动预防和实时检测至关重要。在所有计算实例上强制执行IMDSv2、限制对元数据端点的网络访问,以及对IAM角色应用最小权限原则,能显著减少暴露风险。
同时,能够标记异常IMDS请求和数据窃取模式的运行时传感器可以迅速识别正在进行的攻击。
云安全团队必须从基于特征的防御演变为异常追踪——追踪那些永远不应查询IMDS的进程,并对偏差发出警报。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
