Bulut ortamları, sanal makinelere geçici kimlik bilgileri ve temel yapılandırma verileri sağlamak için örnek meta veri hizmetine (IMDS) güvenir.
IMDS, uygulamaların kod veya yapılandırma dosyalarına sırlar yerleştirmeden kimlik bilgilerini güvenli bir şekilde almasına olanak tanır.
Bununla birlikte, tehdit aktörleri bu rahatlığı kötüye kullanmanın, IMD’leri kimlik bilgilerini çalmak, yanal olarak hareket etmek ve artan ayrıcalıkları artırmak için bir sıçrama tahtasına dönüştürmenin yollarını buldular.
Wiz ekibinin son araştırmaları, veri odaklı tehdit avının olağandışı IMDS etkinliğini nasıl tespit edebileceğini ve hatta popüler hizmetlerde sıfır günlük istismarları nasıl ortaya çıkarabileceğini gösteriyor.
IMD’ler nedir ve neden önemlidir
Meta veri hizmeti, IAM rolü bilgileri, bölge bilgileri ve ağ yapılandırması gibi verileri almak için güvenli bir kanal sunan her bulut hesaplama örneğinde çalışır.
AWS ve Azure’da, bu hizmet IMDS olarak bilinirken, Google Cloud buna VM meta veri hizmeti diyor.
Bir hesaplama örneğinde çalışan uygulamalar, örneğin rolüne bağlı geçici kimlik bilgilerini almak için bir bağlantı-yerel adrese (AWS için 169.254.169.254) bir HTTP isteği yapmanız yeterlidir.
Bu kimlik bilgileri, S3 kovaları veya sabit kodlanmış sırlar olmayan veritabanlarına kaynaklara erişim sağlar.
AWS, IMD’lerin iki versiyonunu destekler. IMDSV1, Sunucu tarafı istek ambgerrasyonu (SSRF) saldırılarına karşı savunmasız hale getiren kimlik doğrulanmamış HTTP isteklerini kabul eder.
IMDSV2, herhangi bir GET isteği meta veriler getirmeden önce bir Put Talebi ile elde edilen bir oturum jetonu gerektirir.
Bu jeton tabanlı yaklaşım, hem HTTP yöntemlerinin hem de başlıkların kontrolünü gerektirerek saldırganlar için çıtayı yükseltir.
Güvenlik En İyi Uygulamaları, IMDSV1’i hedefleyen en yaygın istismar tekniklerini engellemek için IMDSV2’nin uygulanmasını önerir.
Bulutta ilk erişim arayan saldırganlar genellikle IMDS’ye proxy isteklerini sağlayan uygulama kusurlarından yararlanırlar. İki yaygın yol şunları içerir:
Sunucu tarafı isteği asma (SSRF): Saldırganlar, IMDS uç noktasına HTTP istekleri göndermek için savunmasız bir web uygulamasından yararlanır. 169.254.169.254’e işaret eden bir URL parametresi enjekte ederek, uygulamayı geçici kimlik bilgilerini ortaya çıkarmaya kandırabilirler.
Kod enjeksiyonu ve yanlış yapılandırılmış iş yükleri: Uygulama kodundaki veya açık ağ yapılandırmalarındaki kusurlar, iş yükünü etkili bir şekilde saldırgan kontrollü bir proxy’ye dönüştürerek IMDS sorgularını verecek şekilde manipüle edilebilir.
IMDS kimlik bilgilerine sahip olduktan sonra, saldırganlar bulut ortamında yanal olarak hareket edebilir, diğer örneklere dönebilir ve ek roller üstlenerek ayrıcalıkları artırabilir.
Anormal IMDS kullanımı avlamak
Wiz Araştırma Ekibi, şüpheli IMDS erişimini tespit etmek için dört aşamalı veri odaklı bir yaklaşım kullanıyor:
- Bir temel oluşturma: AWS SDK istemcileri ve bulut init hizmetleri gibi IMD’lere normal olarak erişen süreçleri ve SDK’ları belirleyin.
- Nadir desenleri tespit etmek: Bu tek seferlik olaylar genellikle sömürüye işaret ettiğinden, ortamlar arasında nadiren IMD’leri sorgulayan süreçleri arayın.
- Hassas yollara daralma: Meşru uygulamaların nadiren eriştiği IAM bilgi ve güvenlik kimlik bilgilerini ortaya çıkaran meta veri uç noktalarına odaklanın.
- Bağlamsal Filtreleme: IMDS Access verilerini, uyarılara öncelik vermek için örnek bilgilerle (kamuya açık maruziyet, hassas veri erişimi ve eşzamanlı şüpheli olaylarla) birleştirin.
Bu yöntemi kullanarak, ekip iki gerçek dünyadaki IMDS istismarı vakasını keşfetti. İlk olarak, pandoc belge dönüştürücüde (CVE-2025-51591) sıfır gün SSRF güvenlik açığı buldular, bu da IMD’leri hedefleyen IFREMS içeren güvensiz HTML oluşturdu.
Çevre IMDSV2’yi zorladığı için, istismar kimlik bilgilerini alamadı, ancak sadece şans eseri.
İkinci durumda, GCP’de yanlış yapılandırılmış bir tıklama evi veritabanı, meta veri hırsızlığını denemek için URL sorgu özelliği aracılığıyla istismar edildi. Eksik izinler günü kurtardı.
Bu bulgular, IMDSV2’nin uygulanmasının ve anormal meta veri taleplerinin izlenmesinin önemini vurgulamaktadır.
Telemetri, makine öğrenimi ve tehdit istihbaratını birleştirerek güvenlik ekipleri, kimlik bilgileri yanlış ellere düşmeden önce saldırganlara tabloları ve bulut ortamlarını koruyabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.