佈告欄 ID：AWS-2025-021
範圍： AWS
內容類型： 重要 (需要注意)
發布日期：2025 年 10 月 8 日上午 11:15 (太平洋夏令時間)

描述：

AWS 已知悉一項潛在的執行個體中繼資料服務 (IMDS) 模擬問題，此問題可能導致客戶與非預期的 AWS 帳戶進行互動。當 IMDS 於 EC2 執行個體上執行時，會在迴送網路介面上運作，並提供執行個體中繼資料憑證，供客戶用於與 AWS 服務互動。這些網路呼叫從不離開 EC2 執行個體，客戶可信任 IMDS 網路介面位於 AWS 資料周界內。

若從非 EC2 運算節點使用 AWS 工具 (如 AWS CLI/SDK 或 SSM Agent)，第三方控制的 IMDS 可能提供非預期的 AWS 憑證。這需要計算節點在第三方具有特權網路位置的網路上運行。AWS 建議，若在 AWS 資料周界外使用 AWS 工具，客戶應遵循安裝與設定指南 (AWS CLI/SDK 或 SSM Agent)，以確保此問題得到緩解。我們亦建議監控內部部署環境中可能執行的 IMDS 端點，以主動防範第三方此類模擬問題。

受影響版本：IMDSv1 與 IMDSv2

解決方案：

AWS 建議，若在 AWS 資料周界外使用 AWS 工具，客戶應遵循安裝與設定指南 (AWS CLI/SDK 或 SSM Agent)，以確保此問題得到緩解。

監控：

組織應監控內部部署環境中非預期的 AWS 執行個體中繼資料服務 (IMDS) 流量，此現象可能代表潛在設定錯誤、本機執行的雲端應用程式或安全性風險。

監控以下項目：對 169.254.169.254 (AWS IPv4 連結本機中繼資料端點) 與 fd00:ec2::254 (AWS IPv6 中繼資料端點) 的連線、送往 AWS 特定路徑 (如 /latest/meta-data 或 /latest/api/token) 的 HTTP 請求，以及是否存在 X-aws-ec2-metadata-token 等 AWS 中繼資料標頭。這些端點不應出現在純內部部署網路中，因其僅供 AWS EC2 執行個體擷取設定資料、IAM 憑證及執行個體資訊。

客戶可透過 SIGMA 取得此偵測指南概要，SIGMA 為通用規則格式，可轉換為特定的 SIEM 查詢語言，支援跨平台部署偵測規則。建立此規則時，需定義 logsource: category: network 以關聯多種網路遙測資料，再建立多個選取區塊。ip_aws_dst: dst_ip: 169.254.169.254 用於擷取直接連線，而 http_url_paths: urlcontains: ['/latest/meta-data', '/latest/api/token'] 透過 SIGMA 的清單語法偵測中繼資料請求。在不同選取區塊中使用 destination.ip、c-ip 及 request_urlcontains 等欄位變體，以相容不同廠商的日誌結構。實作條件邏輯，依指定前綴比對所有選取區塊 (例如：condition: 1 of ip_* or 1 of http_*，其中萬用字元 * 比對所有以此類前綴開頭的選取區塊)。透過 SIGMA 的 contains 修飾詞可提升偵測精確度：request_headers|contains: 'X-aws-ec2-metadata-token' 可用於偵測 IMDSv2 權杖請求。部署後，SIGMA 會將此通用語法轉換為您的 SIEM 原生查詢語言 (如 Splunk 的 SPL、QRadar 的 AQL、Sentinel 的 KQL 或 Elastic 的 KQL)，在保留相同偵測邏輯的同時，相容平台專屬的欄位名稱與運算子。

為提升規則準確度，客戶可透過依據來源子網路或 VLAN 套用抑制邏輯，僅針對內部部署網路流量觸發警示。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。