Πώς να απενεργοποιήσετε τα μεταδεδομένα AWS EC2;

από
Tweet
Share
Share
Pin

Αυτό το άρθρο θα σας διδάξει σχετικά με τα μεταδεδομένα EC2 και γιατί είναι σημαντικά. Θα μάθετε επίσης πώς να απενεργοποιείτε τα μεταδεδομένα για να προστατευτείτε από επιθέσεις όπως το SSRF.

Το Amazon Web Services (AWS) διαθέτει μια υπηρεσία Amazon Elastic Compute Cloud (Amazon EC2), η οποία παρέχει δυνατότητα κλιμάκωσης της επεξεργασίας. Χρησιμοποιώντας το Amazon EC2, μπορείτε να αναπτύξετε και να αναπτύξετε εφαρμογές πιο γρήγορα χωρίς να κάνετε μια αρχική επένδυση υλικού.

Ανάλογα με τις ανάγκες σας, εκκινήστε τόσους ή λιγότερους εικονικούς διακομιστές. Ρυθμίστε τις ρυθμίσεις δικτύωσης και ασφάλειας και ελέγξτε την αποθήκευση χρησιμοποιώντας το Amazon EC2.

Οι πληροφορίες σχετικά με την παρουσία σας που μπορούν να προσαρμοστούν ή να διαχειρίζονται σε μια παρουσία που εκτελείται είναι γνωστές ως μεταδεδομένα παρουσίας. Οι κατηγορίες μεταδεδομένων παρουσίας περιλαμβάνουν όνομα κεντρικού υπολογιστή, συμβάντα και ομάδες ασφαλείας. Επιπλέον, μπορείτε να αποκτήσετε πρόσβαση στα δεδομένα χρήστη που καθορίσατε κατά την εκκίνηση της παρουσίας σας χρησιμοποιώντας μεταδεδομένα παρουσίας.

Μπορείτε να συμπεριλάβετε ένα σύντομο σενάριο ή να καθορίσετε παραμέτρους κατά τη διαμόρφωση της παρουσίας σας. Χρησιμοποιώντας δεδομένα χρήστη, μπορείτε να δημιουργήσετε γενικά AMI και να τροποποιήσετε τα αρχεία διαμόρφωσης χρόνου εκκίνησης.

Μπορείτε να ρυθμίσετε νέες ή υπάρχουσες παρουσίες για την εκτέλεση των ακόλουθων εργασιών χρησιμοποιώντας επιλογές μεταδεδομένων παρουσίας:

  • Απαιτείται η αποστολή αιτημάτων μεταδεδομένων παρουσίας μέσω IMDSv2
  • Βάλτε το όριο μετάβασης απόκρισης PUT.
  • Πρόσβαση στα μεταδεδομένα στιγμιότυπου κλειδώματος
  Πώς λειτουργεί το Auto-HDR στο Xbox Series X|S (και πώς να το απενεργοποιήσετε)

Είναι δυνατή η πρόσβαση σε μεταδεδομένα από μια ενεργή παρουσία EC2 χρησιμοποιώντας μία από τις ακόλουθες τεχνικές: IMDSv1sIMDSv2

Η υπηρεσία μεταδεδομένων παρουσίας είναι γνωστή ως IMDS. Όπως μπορείτε να υποθέσετε, οι μεθοδολογίες είναι ελαφρώς διαφορετικές. Το IMDSv1 χρησιμοποιεί μια μέθοδο αίτησης/απόκρισης, ενώ το IMDSv2 είναι προσανατολισμένο στη συνεδρία.

Η AWS σας προτρέπει να χρησιμοποιήσετε το IMDSv2, που είναι η προτιμώμενη μέθοδος. Από προεπιλογή, το AWS SDK χρησιμοποιεί κλήσεις IMDSv2 και μπορείτε να ζητήσετε από τους χρήστες να διαμορφώσουν ένα νέο EC2 με ενεργοποιημένο το IMDSv2, χρησιμοποιώντας τα κλειδιά συνθήκης IAM σε μια πολιτική IAM.

Χρησιμοποιήστε τα ακόλουθα URI IPv4 ή IPv6 για να προβάλετε όλους τους τύπους μεταδεδομένων παρουσίας από μια παρουσία που εκτελείται.

IPv4

μπούκλα http://169.254.169.254/latest/meta-data/

IPv6

μπούκλα http://[fd00:ec2::254]/latest/meta-data/

Οι διευθύνσεις IP είναι τοπικές διευθύνσεις συνδέσμου και ισχύουν μόνο από την παρουσία.

Για να προβάλετε μεταδεδομένα παρουσίας, μπορείτε να χρησιμοποιήσετε μόνο την τοπική διεύθυνση συνδέσμου 169.254.169.254 . Τα αιτήματα για τα μεταδεδομένα μέσω του URI είναι δωρεάν, επομένως δεν υπάρχουν πρόσθετες χρεώσεις από το AWS.

Ανάγκη απενεργοποίησης μεταδεδομένων

Στις ρυθμίσεις AWS, η επίθεση SSRF είναι συχνή και γνωστή σε όλους. Επιτιθέμενους που αυτοματοποιούν τη σάρωση ευπάθειας και συγκεντρώνουν διαπιστευτήρια IAM από διαδικτυακές εφαρμογές που είναι προσβάσιμες στο κοινό, εντοπίστηκαν από τη Mandiant (μια εταιρεία ασφάλειας στον κυβερνοχώρο).

  Πώς να διαγράψετε επαφές στο iPhone

Η εφαρμογή του IMDSv2 για όλες τις περιπτώσεις EC2, που έχει πρόσθετα πλεονεκτήματα ασφάλειας, θα μείωνε αυτούς τους κινδύνους για την εταιρεία σας. Η πιθανότητα ένας εχθρός να κλέψει τα διαπιστευτήρια IAM μέσω SSRF θα μειωνόταν σημαντικά με το IMDSv2.

Η χρήση του Server Side Request Forgery (SSRF) για να αποκτήσετε πρόσβαση στην υπηρεσία μεταδεδομένων EC2 είναι μία από τις τεχνικές για την εκμετάλλευση AWS που διδάσκεται πιο συχνά.

Η υπηρεσία μεταδεδομένων είναι προσβάσιμη στην πλειονότητα των Περιπτώσεων EC2 στο 169.254.169.254. Αυτό περιέχει χρήσιμες πληροφορίες σχετικά με το στιγμιότυπο, όπως τη διεύθυνση IP, το όνομα της ομάδας ασφαλείας κ.λπ.

Εάν ένας ρόλος IAM είναι συνδεδεμένος σε μια παρουσία EC2, η υπηρεσία μεταδεδομένων θα περιέχει επίσης διαπιστευτήρια IAM για έλεγχο ταυτότητας ως αυτόν τον ρόλο. Μπορούμε να κλέψουμε αυτά τα διαπιστευτήρια ανάλογα με την έκδοση του IMDS που χρησιμοποιείται και τις δυνατότητες του SSRF.

Αξίζει επίσης να ληφθεί υπόψη ότι ένας αντίπαλος με πρόσβαση φλοιού στο στιγμιότυπο EC2 θα μπορούσε να αποκτήσει αυτά τα διαπιστευτήρια.

Σε αυτό το παράδειγμα, ένας διακομιστής ιστού εκτελείται στη θύρα 80 της παρουσίας EC2. Αυτός ο διακομιστής web έχει μια απλή ευπάθεια SSRF, η οποία μας επιτρέπει να στέλνουμε αιτήματα GET σε οποιαδήποτε διεύθυνση. Αυτό μπορεί να χρησιμοποιηθεί για την αποστολή αιτήματος στη διεύθυνση http://169.254.169.254.

  Το Bamboo Paper τελικά πηγαίνει σε πολλές πλατφόρμες και το πήραμε για μια περιστροφή

Για να απενεργοποιήσετε τα μεταδεδομένα

Αποκλείοντας το τελικό σημείο HTTP της υπηρεσίας μεταδεδομένων παρουσίας, μπορείτε να αποτρέψετε την πρόσβαση στα μεταδεδομένα παρουσίας σας, ανεξάρτητα από την έκδοση της υπηρεσίας μεταδεδομένων παρουσίας που χρησιμοποιείτε.

Μπορείτε να αντιστρέψετε αυτήν την αλλαγή ανά πάσα στιγμή, ενεργοποιώντας το τελικό σημείο HTTP. Χρησιμοποιήστε την εντολή modify-instance-metadata-options CLI και ορίστε την παράμετρο http-endpoint σε disabled για να απενεργοποιήσετε τα μεταδεδομένα για την περίπτωσή σας.

Για να απενεργοποιήσετε τα μεταδεδομένα εκτελέστε αυτήν την εντολή:

aws ec2 modify-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint disabled

απενεργοποίηση μεταδεδομένων

Μπορείτε να δείτε ότι αφού απενεργοποιήσω τα μεταδεδομένα μου, αν προσπαθήσω να αποκτήσω πρόσβαση, λαμβάνω ένα μήνυμα ΑΠΑΓΟΡΕΥΜΕΝΟ.

Εάν θέλετε να ενεργοποιήσετε ξανά τα μεταδεδομένα σας, εκτελέστε αυτήν την εντολή:

aws ec2 modify-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint enabled

ενεργοποιώντας ξανά τα μεταδεδομένα

συμπέρασμα

Τα μεταδεδομένα μπορεί να είναι χρήσιμα για την εξαγωγή πληροφοριών από μεγάλες αποθήκες δεδομένων. Ωστόσο, μπορεί επίσης να γίνει κατάχρηση για να γνωρίζουμε την τοποθεσία ή την ταυτότητα ενός ατόμου χωρίς τη γνώση ή τη συγκατάθεσή του. Επειδή καταγράφει κάθε αλλαγή που κάνετε, συμπεριλαμβανομένων των διαγραφών και των σχολίων, πρέπει να γνωρίζετε ότι μπορεί να περιέχει πληροφορίες που δεν θα θέλατε να μπορούν να δουν οι άλλοι. Ως αποτέλεσμα, η κατάργηση των μεταδεδομένων είναι κρίσιμη για τη διατήρηση του απορρήτου και της ανωνυμίας σας στο διαδίκτυο.

Μπορείτε επίσης να εξερευνήσετε ορισμένες βασικές ορολογίες AWS που προάγουν τη μάθησή σας στο AWS.