Siber suçlular Amazon Web Services (AWS) EC2 örneklerinde barındırılan web sitelerini hedefleyen sofistike bir kampanya başlattı.
Mart 2025’te gözlemlenen bu kampanya, Sunucu tarafı isteği Apgenesi (SSRF) aracılığıyla EC2 örneği meta verilerinde bir güvenlik açığından yararlanarak saldırganların hassas bilgilere erişmesine ve potansiyel olarak saldırılarını artırmasına izin veriyor.
Sömürü tekniği
Saldırganlar iki ortak zayıflığın bir kombinasyonunu kullanıyor: CWE-200 (hassas bilgilerin yetkisiz bir aktöre maruz kalması) ve CWE-918 (sunucu tarafı istek ampajerisi).
.png
)
EC2 örneklerinde barındırılan web sitelerine GET talepleri göndererek, örneğin dahili IP adresinden (169.254.169.254) meta verileri almaya çalışırlar.
Bu meta veriler, AWS kaynaklarına yetkisiz erişim elde etmek için kullanılabilen IAM rolü bilgileri gibi kritik bilgiler içerir.
Kampanyanın zaman çizelgesi, 15 Mart 2025’ten başlayıp dört gün süren kısa ama yoğun bir faaliyet dönemi gösteriyor.
Saldırganlar, bir Fransız şirketi olan FBW Networks SAS’a ait aynı özerk sistem numarasından (ASN) birden fazla IP adresi kullandı.
Bu IP’ler, sömürü girişimlerinde tek tip davranışlar gösterdi ve tek bir aktör tarafından koordineli bir çabayı gösterdi.
EC2 örneği meta verilerinin, özellikle IMDSV1 aracılığıyla maruz kalması önemli riskler oluşturmaktadır.
AWS dokümantasyonunun belirttiği gibi, IMDSV1 verileri kimlik doğrulama veya şifreleme yöntemleri ile korunmaz, bu da üzerinde çalışan örneğe veya yazılıma doğrudan erişimi olan herkese karşı savunmasız hale gelir.
Bu güvenlik açığı, saldırganların AWS ortamı içindeki ayrıcalıklarını potansiyel olarak artırmalarını sağlayarak daha fazla sömürü veya veri ihlaline yol açar.
Bu tehdidi azaltmak için AWS kullanıcılarına IMDSV1’den IMDSV2’ye geçiş yapmaları ve bu da saldırganların gizli bir jeton sağlamasını ve SSRF tabanlı saldırılar riskini önemli ölçüde azaltması önerilir.
Ayrıca, Meta Veri Hizmeti IP’sine talepleri engellemek için Web Uygulaması Güvenlik Duvarı (WAF) kurallarının uygulanması yetkisiz erişimi önleyebilir.
Diğer önemli güvenlik açıkları
EC2 meta veri istismarı yeni olsa da, Mart 2025 ayrıca diğer birkaç CVE çevresinde önemli bir etkinlik gördü:
- CVE-2017-9841: Tarama etkinliğinde büyük bir artış gören ve eski güvenlik açıklarının kalıcı tehdidini vurgulayan bir PHPunit uzaktan kod yürütme güvenlik açığı.
- CVE-2023-1389: Ağ aygıtlarının zamanında yamalanması ihtiyacını vurgulayan bir TP-Link Archer AX21 Uzaktan Kod Yürütme Güvenlik Açığı.
- CVE-2024-4577: Kripto para birimi madencileri ve uzaktan erişim truva atları gibi kötü amaçlı yazılımları dağıtmak için sömürülen bir PHP-CGI argümanı enjeksiyon güvenlik açığı.
Rapora göre, EC2 örneği meta verilerin SSRF yoluyla sömürülmesi, siber suçluların gelişen taktiklerinin bulut altyapısını hedeflemek için altını çiziyor.
Kuruluşlar, bulut yapılandırmalarının güvenli ve güncel olmasını sağlayarak uyanık kalmalıdır.
Eski güvenlik açıklarına olan ilginin yeniden canlanması, yama ve güncelleme sistemlerinin sağlam siber güvenlik savunmalarını sürdürmek için kritik olduğunu hatırlatır.
Bulut hizmetleri büyümeye devam ettikçe, onlara yönelik saldırıların karmaşıklığı da, güvenliğe proaktif bir yaklaşım gerektiriyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!