Môi trường đám mây hiện đại phụ thuộc vào **Instance Metadata Service (IMDS)** để cung cấp thông tin xác thực tạm thời và dữ liệu cấu hình thiết yếu cho các máy ảo. Dịch vụ này cho phép các ứng dụng truy xuất thông tin xác thực một cách an toàn mà không cần nhúng trực tiếp các bí mật vào mã nguồn hoặc file cấu hình. Tuy nhiên, các tác nhân đe dọa đã tìm ra cách lạm dụng sự tiện lợi này, biến **lỗ hổng IMDS** thành bàn đạp quan trọng để đánh cắp thông tin xác thực, di chuyển ngang qua môi trường và leo thang đặc quyền trong các **cuộc tấn công mạng** nhắm vào hệ thống đám mây.

Instance Metadata Service (IMDS) là gì và cơ chế hoạt động

IMDS là một dịch vụ thiết yếu chạy trên mọi instance tính toán đám mây, cung cấp một kênh an toàn để truy xuất các dữ liệu quan trọng như thông tin xác thực vai trò IAM, thông tin khu vực và cấu hình mạng.

Trong các nền tảng như AWS và Azure, dịch vụ này được biết đến với tên gọi IMDS. Trong khi đó, Google Cloud gọi đây là VM metadata service (dịch vụ metadata máy ảo).

Các ứng dụng chạy trên một instance tính toán thực hiện các yêu cầu HTTP đơn giản đến một địa chỉ liên kết cục bộ (ví dụ: **169.254.169.254** đối với AWS) để lấy thông tin xác thực tạm thời được liên kết với vai trò của instance đó.

Những thông tin xác thực này cấp quyền truy cập vào các tài nguyên được ủy quyền, chẳng hạn như các thùng lưu trữ S3 hoặc cơ sở dữ liệu, mà không cần phải mã hóa cứng các bí mật trong ứng dụng.

IMDSv1 và IMDSv2: Phân tích kỹ thuật và rủi ro bảo mật

AWS cung cấp hai phiên bản IMDS, mỗi phiên bản có các đặc điểm bảo mật khác nhau và mức độ **rủi ro bảo mật** tiềm ẩn. Hiểu rõ sự khác biệt giữa chúng là rất quan trọng để bảo vệ môi trường đám mây.

Cơ chế hoạt động của IMDSv1 và các lỗ hổng liên quan

**IMDSv1** chấp nhận các yêu cầu HTTP không được xác thực. Điều này khiến nó đặc biệt dễ bị tấn công Server-Side Request Forgery (SSRF) nghiêm trọng.

Trong một cuộc tấn công SSRF, kẻ tấn công có thể lợi dụng một lỗ hổng trong ứng dụng để buộc nó gửi yêu cầu HTTP đến điểm cuối IMDSv1. Từ đó, chúng có thể lấy được thông tin xác thực tạm thời của instance mà không cần tương tác trực tiếp với dịch vụ.

Ưu điểm bảo mật vượt trội của IMDSv2

Ngược lại, **IMDSv2** yêu cầu một token phiên được lấy thông qua một yêu cầu PUT trước khi bất kỳ yêu cầu GET nào có thể truy xuất metadata.

Cách tiếp cận dựa trên token này nâng cao đáng kể rào cản cho kẻ tấn công, bởi vì chúng cần kiểm soát cả phương thức HTTP (PUT để lấy token, GET để lấy metadata) và các header yêu cầu để thực hiện khai thác.

Các thực tiễn bảo mật tốt nhất khuyến nghị mạnh mẽ việc thực thi **IMDSv2** để chặn hầu hết các kỹ thuật lạm dụng phổ biến nhắm mục tiêu vào IMDSv1. Đây là một bước cơ bản để tăng cường **bảo mật đám mây** và giảm thiểu **lỗ hổng IMDS**.

Khai thác lỗ hổng IMDS để xâm nhập và chiếm quyền điều khiển

Kẻ tấn công thường tìm kiếm quyền truy cập ban đầu trong môi trường đám mây bằng cách khai thác các lỗ hổng ứng dụng cho phép họ proxy yêu cầu đến IMDS. Có hai con đường phổ biến mà chúng thường sử dụng.

Tấn công Server-Side Request Forgery (SSRF) qua IMDS

Kẻ tấn công lợi dụng một ứng dụng web dễ bị tổn thương để gửi các yêu cầu HTTP đến điểm cuối IMDS (ví dụ: **169.254.169.254**).

Bằng cách chèn một tham số URL trỏ đến địa chỉ này, chúng có thể lừa ứng dụng tiết lộ thông tin xác thực tạm thời của instance. Thông tin này sau đó được sử dụng làm cơ sở cho các **cuộc tấn công mạng** tiếp theo, bao gồm di chuyển ngang và leo thang đặc quyền.

Một ví dụ về yêu cầu SSRF có thể được tiêm vào ứng dụng:

GET /?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/role-name HTTP/1.1
Host: vulnerable-app.com

Lỗi Injection mã nguồn và Cấu hình sai hệ thống

Các lỗ hổng trong mã ứng dụng hoặc cấu hình mạng không an toàn có thể bị thao túng để thực hiện các truy vấn IMDS từ bên trong instance.

Điều này biến workload thành một proxy do kẻ tấn công kiểm soát, cho phép chúng truy cập và trích xuất metadata nhạy cảm.

Khi đã có được thông tin xác thực IMDS, kẻ tấn công có thể dễ dàng di chuyển ngang qua môi trường đám mây, chuyển sang các instance khác và leo thang đặc quyền bằng cách giả định các vai trò bổ sung, dẫn đến việc **chiếm quyền điều khiển** hệ thống hoàn toàn.

Phát hiện hành vi IMDS bất thường và săn lùng mối đe dọa mạng

Nhóm nghiên cứu Wiz đã phát triển một phương pháp dựa trên dữ liệu gồm bốn bước để phát hiện các quyền truy cập IMDS đáng ngờ, giúp nhận diện dấu hiệu của các **cuộc tấn công mạng** tiềm tàng và **lỗ hổng IMDS** chưa được biết đến.

Các trường hợp thực tế và lỗ hổng zero-day

Áp dụng phương pháp này, nhóm nghiên cứu đã phát hiện hai trường hợp lạm dụng IMDS trong thế giới thực, minh họa mức độ nghiêm trọng của các **rủi ro bảo mật** này.

• Lỗ hổng zero-day SSRF trong Pandoc: Trường hợp đầu tiên là một **lỗ hổng zero-day** SSRF trong bộ chuyển đổi tài liệu **Pandoc (CVE-2025-51591)**. Lỗ hổng này cho phép hiển thị HTML không đáng tin cậy chứa iframes nhắm mục tiêu vào IMDS.
• Mặc dù môi trường đã thực thi IMDSv2, việc khai thác chỉ thất bại một cách tình cờ do cấu hình cụ thể. Điều này nhấn mạnh tầm quan trọng của việc thường xuyên **cập nhật bản vá** và cấu hình bảo mật đúng cách.
• Lạm dụng cơ sở dữ liệu ClickHouse: Trong trường hợp thứ hai, một cơ sở dữ liệu ClickHouse bị cấu hình sai trong Google Cloud Platform (GCP) đã bị lạm dụng thông qua tính năng truy vấn URL của nó để cố gắng đánh cắp metadata. Việc thiếu các quyền cần thiết đã ngăn chặn cuộc tấn công thành công.

Những phát hiện này được trình bày chi tiết trong nghiên cứu của Wiz. Đọc thêm về nghiên cứu của Wiz về săn lùng bất thường IMDS.

Thông tin về các lỗ hổng được công bố, bao gồm **CVE-2025-51591**, có thể được tìm thấy trên các cơ sở dữ liệu công khai. Tìm kiếm CVE-2025-51591 trên NVD (Lưu ý: CVE này có thể là một định danh placeholder trong thời điểm nghiên cứu ban đầu).

Tăng cường bảo mật cho Instance Metadata Service

Những trường hợp được phân tích nhấn mạnh tầm quan trọng thiết yếu của việc thực thi **IMDSv2** và giám sát liên tục các yêu cầu metadata bất thường để chủ động phát hiện các **lỗ hổng IMDS**.

Bằng cách kết hợp dữ liệu đo lường hệ thống (telemetry), học máy và thông tin về mối đe dọa (threat intelligence), các nhóm bảo mật có thể chủ động chống lại kẻ tấn công và bảo vệ môi trường đám mây trước khi thông tin xác thực nhạy cảm rơi vào tay kẻ xấu.

Việc thường xuyên **cập nhật bản vá** các ứng dụng và hệ điều hành, cùng với việc kiểm tra và củng cố cấu hình bảo mật, là tối quan trọng để giảm thiểu **rủi ro bảo mật** liên quan đến IMDS và duy trì một môi trường **bảo mật đám mây** vững chắc.