Hedeflenen bir kampanya, IMDSV1 uç noktasından Kimlik ve Erişim Yönetimi (IAM) kimlik bilgilerini içerebilecek EC2 meta verilerini çıkarmak için AWS EC2 örneklerinde barındırılan web sitelerindeki sunucu tarafı istek ampulge (SSRF) güvenlik açıklarından yararlandı.
IAM kimlik bilgilerini almak, saldırganların ayrıcalıklarını artırmasına ve S3 kovalarına erişmesine veya diğer AWS hizmetlerini kontrol etmesine olanak tanır, bu da potansiyel olarak hassas veri maruziyetine, manipülasyonuna ve hizmet kesintisine yol açar.
Kampanya, 13-25 Mart 2025 arasında kötü niyetli etkinliğin sonuçlandığını bildiren F5 Labs araştırmacıları tarafından keşfedildi. Trafik ve davranış kalıpları, tek bir tehdit aktör tarafından gerçekleştirildiğini güçlü bir şekilde gösteriyor.
Kampanyaya Genel Bakış
SSRF sorunları, saldırganların bir sunucuyu kendi adına dahili kaynaklara HTTP istekleri yapmaya “kandırmasını” sağlayan web kusurlarıdır ve bu da genellikle saldırgan tarafından erişilemiyor.
F5 tarafından gözlemlenen kampanyada, saldırganlar SSRF kusurlarıyla EC2’de barındırılan web sitelerini buldular ve dahili EC2 meta veri URL’lerini uzaktan sorgulamalarına ve hassas veriler almalarına izin verdiler.
EC2 meta verileri Amazon EC2’de (Elastik Compute Cloud) AWS’de çalışan bir sanal makine hakkında bilgi sağlayan bir hizmettir. Bu bilgiler yapılandırma ayrıntılarını, ağ ayarlarını ve potansiyel olarak güvenlik kimlik bilgilerini içerebilir.
Bu meta veri hizmeti, yalnızca iç IP adreslerindeki özel URL’lere bağlanarak sanal makine tarafından erişilebilir, örneğin http://169.254.169.254/latest/meta-data/.
İlk kötü amaçlı SSRF probu 13 Mart’ta kaydedildi, ancak kampanya 15 ve 25 Mart arasında tam ölçeğe yükseldi ve Fransa ve Romanya’da bulunan birkaç FBW Networks SAS IPS kullandı.
Bu süre zarfında, saldırganlar altı sorgu parametre adını (Dest, Dosya, Yönlendirme, Hedef, URI, URL) ve dört alt yol (örn., /Meta-veri /, /kullanıcı veri) döndürdü ve savunmasız sitelerden duyarlı verilerin eksfiltrasyonunda sistematik bir yaklaşım gösterdi.
Saldırılar, savunmasız örnekler, AWS’nin eski meta veri hizmeti olan IMDSV1’de çalıştığı için, örneğe erişimi olan herkesin depolanan IAM kimlik bilgileri de dahil olmak üzere meta verileri almasına izin verdiği için çalıştı.
Sistemin, web sitelerini SSRF saldırılarından korumak için oturum belirteçleri (kimlik doğrulama) gerektiren IMDSV2’nin yerine geçti.
Daha geniş sömürü faaliyeti
Bu saldırılar, F5 Labs’ın geçen ay için en çok sömürülen güvenlik açıklarını belgelediği Mart 2025 Tehdit Trendleri raporunda vurgulandı.
Hacim ile en çok sömürülen ilk dört CVE:
- CVE-2017-9841 -PHPUNIT uzaktan kod yürütülmesi Değerlendirme-Stdin.php (69.433 deneme)
- CVE-2020-8958 – Guangzhou onu OS komut enjeksiyonu RCE (4.773 deneme)
- CVE-2023-1389 -TP-Link Archer AX21 Komut Enjeksiyonu RCE (4.698 deneme)
- CVE-2019-9082 – Thinkphp PHP Enjeksiyon RCE (3.534 deneme)
.png)
Kaynak: F5 Labs
Rapor, daha eski güvenlik açıklarının yüksek hedefli kaldığını ve sömürülen CV’lerin% 40’ının dört yaşından büyük olduğunu vurguluyor.
Tehditleri azaltmak için mevcut güvenlik güncellemelerinin uygulanması, sertleştirici ve IoT cihaz yapılandırmalarının ve EOL ağ ekipmanlarını desteklenen modellerle değiştirmeniz önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.