ID de boletín: AWS-2025-021
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 08/10/2025 11:15 PDT

Descripción:

AWS tiene conocimiento de un posible problema de suplantación de identidad del servicio de metadatos de instancias (IMDS) que podría provocar que los clientes interactuaran con cuentas de AWS inesperadas. IMDS, cuando se ejecuta en una instancia de EC2, se ejecuta en una interfaz de red de bucle invertido y vende las credenciales de metadatos de la instancia, que los clientes utilizan para interactuar con los servicios de AWS. Estas llamadas de red nunca salen de la instancia de EC2 y los clientes pueden confiar en que la interfaz de red del IMDS se encuentra dentro del perímetro de datos de AWS.

Cuando se utilizan herramientas de AWS (como la CLI/SDK de AWS o el agente SSM) desde nodos informáticos que no son de EC2, existe la posibilidad de que un IMDS controlado por terceros entregue credenciales de AWS inesperadas. Esto requiere que el nodo de procesamiento se ejecute en una red en la que el tercero tenga una posición de red privilegiada. AWS recomienda que, al utilizar las herramientas de AWS fuera del perímetro de datos de AWS, los clientes sigan las guías de instalación y configuración (CLI/SDK de AWS o agente SSM) para asegurarse de mitigar este problema. También le recomendamos que supervise los puntos de enlace de IMDS que puedan estar ejecutándose en su entorno en las instalaciones para evitar de forma proactiva estos problemas de suplantación de identidad por parte de terceros.

Versiones afectadas: IMDSv1 e IMDSv2

Resolución:

AWS recomienda que, al utilizar las herramientas de AWS fuera del perímetro de datos de AWS, los clientes sigan las guías de instalación y configuración (CLI/SDK de AWS o agente SSM) para asegurarse de mitigar este problema.

Supervisión:

Las organizaciones deben supervisar el tráfico inesperado del servicio de metadatos de instancias de AWS (IMDS) en los entornos en las instalaciones, ya que esto indica posibles errores de configuración, aplicaciones en la nube que se ejecutan localmente o problemas de seguridad.

Supervise las conexiones a 169.254.169.254 (punto de conexión de metadatos locales de enlace de AWS IPv4) y fd00:ec2::254 (punto de enlace de metadatos de AWS IPv6), las solicitudes HTTP a rutas específicas de AWS, como /latest/meta-data o /latest/api/token, y la presencia de encabezados de metadatos de AWS, como X-aws-ec2-metadata-token. Estos puntos de enlace nunca deben aparecer en redes exclusivamente en las instalaciones, ya que están reservados para que las instancias de AWS EC2 recuperen los datos de configuración, las credenciales de IAM y la información de la instancia.

A los clientes se les ofrece esta descripción general de la guía de detección en SIGMA, que es un formato de reglas genérico que se traduce a lenguajes de consulta SIEM específicos, lo que permite la implementación universal de la detección. Para crear esta regla, defina logsource: category: network para correlacionar diversas telemetrías de red y, a continuación, cree varios bloques de selección. ip_aws_dst: dst_ip: 169.254.169.254 captura las conexiones directas, mientras que http_url_paths: url|contains: ['/latest/meta-data', '/latest/api/token'] detecta las solicitudes de metadatos mediante la sintaxis de lista de SIGMA. Utilice variantes de campo como destination.ip, c-ip y request_url|contains en bloques de selección independientes para adaptarse a los diferentes esquemas de registro de los distintos proveedores. Implemente la lógica de condiciones para hacer coincidir todos los bloques de selección por sus prefijos dados (por ejemplo, condition: 1 of ip_* o 1 of http_*, donde el comodín * coincide con todos los bloques de selección que comienzan con esos prefijos). La detección se puede precisar utilizando el modificador contains de SIGMA: request_headers|contains: 'x-aws-ec2-metadata-token' para las solicitudes de tokens de IMDSv2. Al implementarla, SIGMA convierte esta sintaxis universal en los lenguajes de consulta nativos de su SIEM (SPL de Splunk, AQL de QRadar, KQL de Sentinel o KQL de Elastic), manteniendo la misma lógica de detección y adaptándose a los nombres de campo y operadores específicos de la plataforma.

Para mejorar la fidelidad de la regla, los clientes pueden considerar la posibilidad de activar la alerta solo para el tráfico de red en las instalaciones mediante la aplicación de una lógica de supresión basada en las subredes o VLAN de origen.

Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.