Μια στοχοθετημένη καμπάνια εκμεταλλεύτηκε τα ευπάθειες της πλαστογραφίας (SSRF) σε ιστότοπους που φιλοξενούνται σε παρουσίες AWS EC2 για την εξαγωγή μεταδεδομένων EC2, τα οποία θα μπορούσαν να περιλαμβάνουν διαπιστευτήρια διαχείρισης ταυτότητας και πρόσβασης (IAM) από το τελικό σημείο IMDSV1.
Η ανάκτηση των διαπιστευτηρίων του IAM επιτρέπει στους επιτιθέμενους να κλιμακώσουν τα προνόμιά τους και να έχουν πρόσβαση σε κάδους S3 ή να ελέγχουν άλλες υπηρεσίες AWS, που ενδεχομένως οδηγούν σε ευαίσθητη έκθεση, χειραγώγηση και διαταραχή των υπηρεσιών.
Η εκστρατεία ανακαλύφθηκε από Ερευνητές F5 Labsο οποίος αναφέρει ότι η κακόβουλη δραστηριότητα κορυφώθηκε μεταξύ 13 και 25 Μαρτίου, 2025.
Επισκόπηση εκστρατείας
Τα προβλήματα SSRF είναι ατέλειες στο διαδίκτυο που επιτρέπουν στους επιτιθέμενους να “ξεγελάσουν” έναν διακομιστή να κάνουν αιτήματα HTTP σε εσωτερικούς πόρους για λογαριασμό τους, οι οποίοι συνήθως δεν είναι προσβάσιμοι από τον εισβολέα.
Στην εκστρατεία που παρατηρήθηκε από το F5, οι επιτιθέμενοι που βρίσκονται σε ιστότοπους που φιλοξενούνται στο EC2 με ελαττώματα SSRF, επιτρέποντάς τους να ζητήσουν από απόσταση τις εσωτερικές διευθύνσεις των μεταδεδομένων EC2 και να λαμβάνουν ευαίσθητα δεδομένα.
Τα μεταδεδομένα EC2 είναι μια υπηρεσία στο Amazon EC2 (Elastic Compute Cloud) που παρέχει πληροφορίες σχετικά με μια εικονική μηχανή που εκτελείται σε AWS. Αυτές οι πληροφορίες μπορούν να περιλαμβάνουν λεπτομέρειες διαμόρφωσης, ρυθμίσεις δικτύου και ενδεχομένως διαπιστευτήρια ασφαλείας.
Αυτή η υπηρεσία μεταδεδομένων είναι προσβάσιμη μόνο από την εικονική μηχανή συνδέοντας με ειδικές διευθύνσεις URL σε εσωτερικές διευθύνσεις IP, όπως http://169.254.169.254/latest/meta-data/.
Ο πρώτος κακόβουλος ανιχνευτής SSRF καταγράφηκε στις 13 Μαρτίου, αλλά η εκστρατεία κλιμακώθηκε σε πλήρη κλίμακα μεταξύ 15 και 25 Μαρτίου, χρησιμοποιώντας αρκετά δίκτυα FBW SAS IPS με έδρα τη Γαλλία και τη Ρουμανία.
Κατά τη διάρκεια αυτής της περιόδου, οι επιτιθέμενοι περιστρέφουν έξι ονόματα παραμέτρων ερωτήματος (DEST, αρχείο, ανακατεύθυνση, στόχος, URI, URL) και τέσσερα υποκείμενα (π.χ. /μετα-δεδομένα /, /data), παρουσιάζοντας μια συστηματική προσέγγιση σε ευαίσθητα δεδομένα από ευάλωτες τοποθεσίες.
Οι επιθέσεις λειτούργησαν επειδή οι ευάλωτες περιπτώσεις λειτουργούσαν στο IMDSV1, τα παλαιότερα μεταδεδομένα της AWS που επιτρέπει σε οποιονδήποτε έχει πρόσβαση στην περίπτωση να ανακτήσει τα μεταδεδομένα, συμπεριλαμβανομένων οποιωνδήποτε αποθηκευμένων διαπιστευτηρίων IAM.
Το σύστημα έχει αντικατασταθεί από το IMDSV2, το οποίο απαιτεί μάρκες περιόδου σύνδεσης (έλεγχος ταυτότητας) για την προστασία ιστοσελίδων από επιθέσεις SSRF.
Ευρύτερη δραστηριότητα εκμετάλλευσης
Αυτές οι επιθέσεις επισημάνθηκαν σε μια έκθεση Trends Threat Trends του Μαρτίου 2025, όπου τα εργαστήρια F5 τεκμηρίωσαν τα πιο αξιόπιστα τρωτά σημεία για τον περασμένο μήνα.
Τα πρώτα τέσσερα πιο εκμεταλλευόμενα CVES κατ ‘όγκο ήταν:
- CVE-2017-9841 -Εκτέλεση απομακρυσμένου κώδικα PHPUNIT μέσω eval-stdin.php (69.433 προσπάθειες)
- CVE-2020-8958 – Guangzhou Onu OS Command Injection RCE (4.773 προσπάθειες)
- CVE-2023-1389 -TP-Link Archer AX21 Ένεση εντολής RCE (4.698 προσπάθειες)
- CVE-2019-9082 – ThinkPHP PHP ένεση RCE (3.534 προσπάθειες)
.png)
Πηγή: εργαστήρια F5
Η έκθεση υπογραμμίζει ότι τα παλαιότερα τρωτά σημεία παραμένουν σε μεγάλο βαθμό στοχευμένα, με το 40% των εκμεταλλευόμενων CVES να είναι άνω των τεσσάρων ετών.
Για να μετριάσετε τις απειλές, συνιστάται να εφαρμόσετε τις διαθέσιμες ενημερώσεις ασφαλείας, να Harden Router και διαμορφώσεις συσκευών IoT και να αντικαταστήσετε τον εξοπλισμό δικτύωσης EOL με υποστηριζόμενα μοντέλα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
