Bulletin-ID: AWS-2025-021 Umfang: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 2025/10/07 13:30 Uhr PDTBeschreibung:AWS ist sich eines potenziellen Problems der Identitätsnachahmung des Instance Metadata Service (IMDS) bewusst, das dazu führen könnte, dass Kunden mit unerwarteten AWS-Konten interagieren. IMDS, wenn er auf einer EC2-Instance ausgeführt wird, läuft auf einer Loopback-Netzwerkschnittstelle und verkauft Instance Metadata Credentials, die Kunden zur Interaktion mit AWS-Services verwenden. Diese Netzwerkaufrufe verlassen niemals die EC2-Instance, und Kunden können darauf vertrauen, dass sich die IMDS-Netzwerkschnittstelle innerhalb des AWS-Datenperimeters befindet.Bei der Verwendung von AWS-Tools (wie AWS CLI/SDK oder SSM Agent) von Nicht-EC2-Rechenknoten besteht die Möglichkeit, dass ein von Dritten kontrollierter IMDS unerwartete AWS-Anmeldeinformationen bereitstellt. Dies setzt voraus, dass der Rechenknoten in einem Netzwerk ausgeführt wird, in dem der Dritte eine privilegierte Netzwerkposition hat. AWS empfiehlt, dass Kunden bei der Verwendung von AWS-Tools außerhalb des AWS-Datenperimeters die Installations- und Konfigurationsanleitungen (AWS CLI/SDK oder SSM Agent) befolgen, um sicherzustellen, dass dieses Problem gemildert wird. Wir empfehlen außerdem, IMDS-Endpunkte zu überwachen, die möglicherweise in Ihrer lokalen Umgebung ausgeführt werden, um solche Identitätsnachahmungsprobleme durch Dritte proaktiv zu verhindern.Betroffene Versionen:IMDSv1 und IMDSv2