HackerNews 编译,转载请注明出处:
F5 Labs 的研究人员发现了一场针对性攻击活动,该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造(SSRF)漏洞来提取 EC2 元数据,这些元数据可能包括来自 IMDSv1 端点的身份和访问管理(IAM)凭据。
检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务,可能导致敏感数据泄露、操作和中断服务。
F5 Labs 的研究人员报告称,恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明,这是由单一威胁者实施的。
SSRF 问题是网络漏洞,使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求,而这些资源通常是攻击者无法访问的。
在 F5 观察到的活动中,攻击者找到了具有 SSRF 漏洞的 EC2 主机网站,使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。
EC2 元数据是亚马逊 EC2(弹性计算云)中的一项服务,提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置,以及潜在的安全凭据。
该元数据服务只能通过连接到内部 IP 地址上的特殊 URL(如 http://169.254.169.254/latest/meta-data/)的虚拟机访问。
首个恶意 SSRF 探测记录在 3 月 13 日,但活动在 3 月 15 日至 25 日之间升级到全面规模,使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。
在此期间,攻击者轮换了六个查询参数名称(dest、file、redirect、target、URI、URL)和四个子路径(例如,/meta-data/、/user-data),显示出从易受攻击的站点中提取敏感数据的系统性方法。
这些攻击之所以成功,是因为易受攻击的实例运行在 IMDSv1 上,这是 AWS 的旧元数据服务,允许任何对实例有访问权限的人检索元数据,包括任何存储的 IAM 凭据。
该系统已被 IMDSv2 取代,后者需要会话令牌(身份验证)来保护网站免受 SSRF 攻击。
这些攻击在 2025 年 3 月的威胁趋势报告中被强调,F5 Labs 文档记录了过去一个月中被利用最多的漏洞。
按数量计算,被利用最多的前四个 CVE 是:
- CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit(69,433 次尝试)CVE-2020-8958 – 广州 ONU OS 命令注入 RCE(4,773 次尝试)CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE(4,698 次尝试)CVE-2019-9082 – ThinkPHP PHP 注入 RCE(3,534 次尝试)
报告强调,旧漏洞仍然是高度针对性的,40% 的被利用 CVE 年龄超过四年。
为了缓解威胁,建议应用可用的安全更新、加强路由器和物联网设备配置,并用受支持的型号替换已停产的网络设备。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
