메인 콘텐츠로 건너뛰기

IMDS 사칭

공지 ID: AWS-2025-021
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 10월 8일 오전 11시 15분(PDT)

설명:

AWS는 Instance Metadata Service(IMDS) 사칭으로 인해 고객이 의도하지 않은 AWS 계정과 상호작용하게 될 가능성이 있는 문제를 인지하고 있습니다. EC2 인스턴스에서 실행되는 IMDS는 루프백 네트워크 인터페이스에서 실행되며 고객이 AWS 서비스와 상호 작용하는 데 사용하는 인스턴스 메타데이터 자격 증명을 제공합니다. 이러한 네트워크 직접 호출은 절대 EC2 인스턴스를 벗어나지 않으며, 고객은 IMDS 네트워크 인터페이스가 AWS 데이터 경계 내에 있음을 신뢰할 수 있습니다.

비 EC2 컴퓨팅 노드에서 AWS 도구(예: AWS CLI/SDK 또는 SSM 에이전트)를 사용할 경우, 제 3자가 제어하는 IMDS가 예기치 않게 AWS 자격 증명을 제공할 가능성이 있습니다. 이 문제는 제 3자가 네트워크 상에서 특권적인 위치를 점유하고 있는 환경에서 컴퓨팅 노드가 실행될 때 발생할 수 있습니다. AWS는 고객이 AWS 데이터 경계 외부에서 AWS 도구를 사용할 때 설치 및 구성 가이드(AWS CLI/SDK 또는 SSM 에이전트)에 따라 이 문제를 완화할 것을 권장합니다. 또한 온프레미스 환경에서 악용될 수 있는 IMDS 엔드포인트를 모니터링해 제3자에 의한 사칭 문제를 사전에 방지하는 것이 좋습니다.

영향을 받는 버전: IMDSv1 및 IMDSv2

해결 방법:

AWS는 고객이 AWS 데이터 경계 외부에서 AWS 도구를 사용할 때 설치 및 구성 가이드(AWS CLI/SDK 또는 SSM 에이전트)에 따라 이 문제를 완화할 것을 권장합니다.

모니터링:

조직은 온프레미스 환경에서 예상치 못한 AWS 인스턴스 메타데이터 서비스(IMDS) 트래픽을 모니터링해야 합니다. 이러한 트래픽은 구성 오류, 로컬에서 실행되는 클라우드 애플리케이션 또는 보안 문제를 나타낼 수 있습니다.

169.254.169.254(AWS IPv4 link-local 메타데이터 엔드포인트) 및 fd00:ec2: :254(AWS IPv6 메타데이터 엔드포인트)에 대한 연결, /latest/meta-data 또는 /latest/api/token과 같은 AWS 특정 경로에 대한 HTTP 요청, X-aws-ec2-metadata-token과 같은 AWS 메타데이터 헤더의 존재 여부를 모니터링합니다. 이러한 엔드포인트는 구성 데이터, IAM 자격 증명 및 인스턴스 정보를 가져오기 위해 AWS EC2 인스턴스에만 예약되어 있으므로, 온전한 온프레미스 네트워크에서는 절대 나타나지 않아야 합니다.

고객에게는 SIGMA 형식의 탐지 지침 개요가 제공됩니다. SIGMA는 일반화된 규칙 형식으로, 이를 통해 특정 SIEM 쿼리 언어로 변환할 수 있어 보편적인 탐지 규칙 배포가 가능해집니다. 이 규칙을 구성하려면, 먼저 logsource: category: network를 정의하여 다양한 네트워크 텔레메트리를 상관 분석하도록 설정합니다. 그 다음 여러 개의 selection 블록을 생성합니다. ip_aws_dst: dst_ip: 169.254.169.254는 직접 연결을 포착하는 반면 http_url_paths: url|contains: ['/latest/meta-data', '/latest/api/token']은 SIGMA의 목록 구문을 사용하여 메타데이터 요청을 탐지합니다. 공급업체 간에 서로 다른 로그 스키마를 수용하기 위해 별도의 selection 블록 내에서 destination.ip, c-ip, request_url|contains와 같은 필드 변형을 사용합니다. 지정된 접두사를 기준으로 모든 selection 블록을 일치시키는 조건 로직을 구현합니다. 예를 들어 condition: 1 of ip_* or 1 of http_*는 와일드카드 *가 해당 접두사로 시작하는 모든 selection 블록과 일치하도록 설정하는 방식입니다. IMDSv2 토큰 요청의 경우 SIGMA의 contains modifier: request_headers|contains: 'X-aws-ec2-metadata-token'을 사용하여 정확하게 탐지할 수 있습니다. SIGMA는 배포 시 이 범용 구문을 SIEM의 기본 쿼리 언어(예: Splunk의 SPL, Qradar의 AQL, Sentinel의 KQL 또는 Elastic의 KQL)로 변환합니다. 이 과정에서 탐지 로직은 그대로 유지되며, 플랫폼별 필드 이름과 연산자에 맞게 자동으로 적용됩니다.

규칙의 정확도를 높이기 위해 고객은 소스 서브넷 또는 VLAN을 기반으로 억제 로직을 적용하여 온프레미스 네트워크 트래픽에 대해서만 알림을 트리거하는 것을 고려할 수 있습니다


보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.