Amazon EC2 örneklerinde barındırılan yeni ortaya çıkan kampanya web sitelerini hedefleyen bir kampanya, siber güvenlik topluluğunda alarmlar artırdı.
2025 yılının ortalarından bu yana, tehdit aktörleri, hassas kimlik bilgilerini çalmak için Sunucu tarafı istek amptörleri (SSRF) güvenlik açıklarının ve Amazon’un EC2 örneği meta veri hizmetinin (IMDSV1) bir kombinasyonunu kullanıyor.
Bu saldırı vektörü, teknik olarak basit olsa da, yanlış yapılandırılmış bulut ortamlarında kritik riskleri vurgulamaktadır.
.png
)
Kampanya, korsanların SSRF kusurları için web uygulamalarını araştırmasıyla başlar ve bu da kötü niyetli HTTP isteklerini dahili sistemlere yönlendirmelerine izin verir.
IMDSV1 uç noktasını hedefleyerek (169.254.169.254), saldırganlar EC2 örneğinin Kimlik ve Erişim Yönetimi (IAM) rolüne bağlı geçici AWS güvenlik kimlik bilgilerini çıkarırlar.
Bu kimlik bilgileri, mağdurun ortamında artan ayrıcalıkları artan ayrıcalıklara S3 kovalarına, veritabanlarına ve diğer bulut hizmetlerine erişim sağlayabilir.
F5 Labs araştırmacıları ilk olarak 13 Mart 2025’te anormal aktivite tespit ettiler ve 15 Mart ve 25 Mart tarihleri arasında sömürü denemelerinde bir artış.
Saldırganlar, altı parametrede tutarlı bir HTTP GET isteği kullandı (url– dest– file– redirect– targetVe uri) SSRF’yi tetiklemek için. Örneğin:-
GET /?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin-role HTTP/1.1
Host: vulnerable-website.com Bu istek, saldırganların yanal hareket için yararlanması IAM rol kimlik bilgilerini alır.
ASN 34534’e (Fransız Varlık FBW Networks SAS’a ait olan) kadar uzanan kampanya altyapısı, OpenSsh 9.2 ve Kubernetes ile ilgili limanlara sahip eşit şekilde yapılandırılmış ana bilgisayarları ortaya çıkardı ve orkestrasyonlu botnet etkinliği önerdi.
.webp)
Sömürü Mekanizması: SSRF ve IMDSV1 köprüleme
Saldırı iki zayıflığa bağlıdır: Web uygulamalarında SSRF kusurları ve IMDSV1’in kimlik doğrulama eksikliği. Eski bir hizmet olan IMDSV1, meta verileri kime doğrulanmamış HTTP istekleri yoluyla ortaya çıkarır.
Bir sunucunun yetkisiz URL’leri getirdiği bir kusur olan SSRF ile birleştirildiğinde, saldırılar meta veri hizmetini sorgulamak için ağ kısıtlamalarını atlar.
AWS dokümantasyonunun uyarıldığı gibi, IMDSV1 “kimlik doğrulama ile korunmaz”, uygulamalar yanlışlıkla talepleri iletirse sömürmeye duyarlı hale getirir.
F5’in telemetrisi, dört subpath’i hedefleyen saldırganları gösterdi, bu da /meta-data/iam/security-credentials/ Ve /user-datakimlik bilgilerini ve örnek yapılandırmalarını hasat etmek için.
Başarılı ihlaller genellikle kripto para madenciliğine, veri açığa çıkmasına veya bulut varlıklarının daha da uzlaşmasına yol açar.
Riskleri azaltmak için kuruluşlar, meta veri erişimi için oturum jetonları gerektiren IMDSV2’ye geçmeli ve istekleri engellemek için Web Uygulaması Güvenlik Duvarları (WAF) dağıtmalıdır. 169.254.169.254.
F5’in raporu, SSRF güvenlik açıklarının yamalanmasının aciliyetinin altını çiziyor ve aşırı ayrı erişimi en aza indirmek için IAM rollerini denetlemektedir.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial