Por que a AWS lançou a versão 2 do IMDS?
Em 2019 uma nova versão do serviço de metadados de instâncias EC2 foi lançada adicionando proteção para quatro (04) tipos de vulnerabilidades que podem ser exploradas para acesso ao metadata, somando assim as mitigações existentes, como restrição de role e regras de firewall local.
- WAF mal configurados
- Proxies Reversos mal configurados
- Vulnerabilidades SSRF não corrigidas
- Firewalls de camada 3 e NATs mal configurados
O que há de novo?
Foi introduzido uma autenticação baseada em token, sendo que uma solicitação de PUT separada deve ser feita. As sessões podem durar até seis horas e, para maior segurança, um token de sessão só pode ser usado diretamente na instância EC2 em que a sessão começou.
Transição
Tanto o IMDSv1 quanto o IMDSv2 estarão disponíveis e habilitados por padrão. Também é possível restringir a apenas a versão 2, além de desabilitar totalmente o serviço.
Nosso objetivo é restringir a utilização a apenas a versão 2.
As novas consultas deverão ter o seguinte padrão de exemplo:
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
Para saber se uma instância está realizando chamadas utilizando a versão 1 é possível utilizar a métrica “MetadataNoToken” do CloudWatch. Essa métrica retorna o número de vezes que o serviço de metadados foi acesso com sucesso sem a utilização de um token.
Habilitando a versão 2
Em instâncias já existentes
Use o comando modify-instance-metadata-options da CLI e defina o parâmetro http-tokens como required. Quando você especifica um valor para http-tokens, também deve definir http-endpoint como enabled.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0 \
--http-tokens required \
--http-endpoint enabled
No lançamento de novas instâncias
- Via console
Ao executar uma nova instância no console do Amazon EC2, selecione as seguintes opções na página
Configure Instance Details:
Em Advanced Details > Metadata accessible, selecione Enabled.
Em Metadata version, selecione V2 (token required).
- Via terraform
Resource: aws_instance e aws_launch_template
Nas opções de metadata (metadata_options) a opção "http_tokens" deve estar requerida (required).
metadata_options {
http_tokens = "required"
http_endpoint = "enabled"
}
Referências:
https://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/ec2-instance-metadata.html
Top comments (0)