Hoe AWS EC2-metagegevens uitschakelen?

Dit artikel leert je over EC2-metadata en waarom het belangrijk is. Je leert ook hoe je metadata kunt uitschakelen om jezelf te beschermen tegen aanvallen zoals SSRF.

Amazon Web Services (AWS) heeft een Amazon Elastic Compute Cloud (Amazon EC2)-service, die schaalbare verwerkingscapaciteit biedt. Door Amazon EC2 te gebruiken, kunt u sneller apps ontwikkelen en implementeren zonder dat u vooraf in hardware hoeft te investeren.

Start, afhankelijk van uw behoeften, zo veel of zo weinig virtuele servers. Stel netwerk- en beveiligingsinstellingen in en beheer de opslag met Amazon EC2.

Informatie over uw instantie die kan worden aangepast of beheerd in een actieve instantie, wordt instantiemetagegevens genoemd. Metagegevenscategorieën voor instanties omvatten hostnaam, gebeurtenissen en beveiligingsgroepen. Bovendien hebt u toegang tot de gebruikersgegevens die u hebt opgegeven bij het starten van uw instantie met behulp van instantiemetagegevens.

U kunt een kort script opnemen of parameters opgeven tijdens het configureren van uw instantie. Met behulp van gebruikersgegevens kunt u generieke AMI’s maken en de configuratiebestanden voor het opstarten wijzigen.

U kunt nieuwe of bestaande instanties instellen om de volgende taken uit te voeren met behulp van metagegevensopties voor instanties:

  • Vereisen dat metadataverzoeken van instanties worden verzonden via IMDSv2
  • Voer de PUT-responshoplimiet in.
  • Toegang tot metadata van instantie vergrendelen

Het is mogelijk om toegang te krijgen tot metadata van een actieve EC2-instantie met behulp van een van de volgende technieken: IMDSv1sIMDSv2

  Begrijpen als __name__ == '__main__' in Python

De instantiemetagegevensservice staat bekend als IMDS. Zoals je zou kunnen aannemen, zijn de methodieken iets anders; IMDSv1 gebruikt een verzoek/antwoordmethode, terwijl IMDSv2 sessiegericht is.

AWS raadt u aan om IMDSv2 te gebruiken, wat de voorkeursmethode is. Standaard gebruikt de AWS SDK IMDSv2-aanroepen en u kunt gebruikers verplichten een nieuwe EC2 te configureren met IMDSv2 ingeschakeld door IAM-voorwaardesleutels te gebruiken in een IAM-beleid.

Gebruik de volgende IPv4- of IPv6-URI’s om alle typen instantiemetagegevens van een actieve instantie te bekijken.

IPv4

krul http://169.254.169.254/latest/meta-data/

IPv6

krul http://[fd00:ec2::254]/laatste/metadata/

De IP-adressen zijn link-local-adressen en zijn alleen geldig vanaf de instantie.

Om metadata van instanties te bekijken, kunt u alleen het link-local-adres 169.254.169.254 gebruiken. Opvragen van de metadata via de URI zijn gratis, dus er zijn geen extra kosten vanuit AWS.

Noodzaak om metadata uit te schakelen

In AWS-configuraties is de SSRF-aanval frequent en bij iedereen bekend. Aanvallers die het scannen van kwetsbaarheden automatiseren en IAM-inloggegevens verzamelen van openbaar toegankelijke online applicaties, zijn gevonden door Mandiant (een cyberbeveiligingsbedrijf).

Het implementeren van IMDSv2 voor alle EC2-instanties, dat extra beveiligingsvoordelen biedt, zou deze risico’s voor uw bedrijf verminderen. De mogelijkheid dat een vijand IAM-inloggegevens via SSRF zou stelen, zou aanzienlijk afnemen met IMDSv2.

Het gebruik van Server Side Request Forgery (SSRF) om toegang te krijgen tot de EC2-metadataservice is een van de technieken voor AWS-exploitatie die het vaakst wordt aangeleerd.

  Afmelden voor geautomatiseerde tekstberichten

De metadataservice is toegankelijk voor de meeste EC2-instanties op 169.254.169.254. Dit bevat nuttige informatie over de instantie, zoals het IP-adres, de naam van de beveiligingsgroep, enz.

Als een IAM-rol is gekoppeld aan een EC2-instantie, bevat de metadataservice ook IAM-referenties om te verifiëren als deze rol. We kunnen die inloggegevens stelen, afhankelijk van de versie van IMDS die wordt gebruikt en de mogelijkheden van de SSRF.

Het is ook de moeite waard om te overwegen dat een tegenstander met shell-toegang tot de EC2-instantie deze inloggegevens zou kunnen verkrijgen.

In dit voorbeeld draait een webserver op poort 80 van de EC2-instantie. Deze webserver heeft een eenvoudige SSRF-kwetsbaarheid, waardoor we GET-verzoeken naar elk adres kunnen sturen. Dit kan worden gebruikt om een ​​verzoek te sturen naar http://169.254.169.254.

Metagegevens uitschakelen

Door het HTTP-eindpunt van de instantiemetadataservice te blokkeren, kunt u de toegang tot uw instantiemetadata voorkomen, ongeacht welke versie van de instantiemetadataservice u gebruikt.

U kunt deze wijziging op elk gewenst moment ongedaan maken door het HTTP-eindpunt in te schakelen. Gebruik de CLI-opdracht modificatie-instance-metadata-options en stel de parameter http-endpoint in op uitgeschakeld om metagegevens voor uw instantie uit te schakelen.

Voer deze opdracht uit om metagegevens uit te schakelen:

  Hoeveel mensen hebben Netflix?

aws ec2 wijziging-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint uitgeschakeld

metagegevens uitschakelen

Je kunt zien dat nadat ik mijn metadata heb uitgeschakeld, ik een VERBODEN bericht krijg als ik er toegang toe probeer te krijgen.

Als u uw metagegevens opnieuw wilt inschakelen, voert u deze opdracht uit:

aws ec2 wijziging-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint ingeschakeld

metadata weer inschakelen

Conclusie

Metadata kan handig zijn voor het extraheren van informatie uit grote datastores. Het kan echter ook worden misbruikt om de locatie of identiteit van een persoon te kennen zonder hun medeweten of toestemming. Omdat het elke wijziging die u aanbrengt, registreert, inclusief verwijderingen en opmerkingen, moet u zich ervan bewust zijn dat het informatie kan bevatten waarvan u niet wilt dat anderen het kunnen zien. Als gevolg hiervan is het verwijderen van metadata van cruciaal belang voor het behoud van uw online privacy en anonimiteit.

U kunt ook enkele AWS-sleutelterminologieën verkennen die uw AWS-leren bevorderen.

gerelateerde berichten