Una campaña dirigida ha aprovechado vulnerabilidades de Server-Side Request Forgery (SSRF) en sitios web alojados en instancias de AWS EC2 para extraer metadatos de EC2, que podrían incluir credenciales de Identity and Access Management (IAM) desde el punto de acceso IMDSv1.
Obtener las credenciales de IAM permite a los atacantes escalar privilegios y acceder a buckets S3 o controlar otros servicios de AWS, lo que podría llevar a exposición de datos sensibles, manipulación o interrupción de servicios.
¿Qué es un Ataque SSRF?
Las vulnerabilidades SSRF permiten que los atacantes “engañen” a un servidor para que realice solicitudes HTTP a recursos internos en su nombre, los cuales normalmente no serían accesibles para ellos.
En esta campaña, los atacantes buscaron sitios web alojados en EC2 con fallos SSRF, lo que les permitió consultar de manera remota las URLs internas de los metadatos de EC2 y recibir datos sensibles.
Metadatos de EC2 es un servicio de Amazon EC2 que proporciona información sobre una máquina virtual que se ejecuta en AWS. Esta información puede incluir detalles de configuración, configuraciones de red y, potencialmente, credenciales de seguridad.
El Proceso del Ataque
Durante la campaña, que se desarrolló entre el 13 y el 25 de marzo de 2025, los atacantes utilizaron varios IPs de FBW Networks SAS ubicados en Francia y Rumanía.
En este período, rotaron nombres de parámetros de consulta y subrutas (como /meta-data/, /user-data/), mostrando un enfoque sistemático para exfiltrar datos sensibles.
Los atacantes pudieron realizar estas consultas porque las instancias vulnerables estaban ejecutando IMDSv1, el servicio de metadatos más antiguo de AWS que permite que cualquiera con acceso a la instancia recupere estos metadatos, incluidas las credenciales de IAM almacenadas.
Este sistema ha sido reemplazado por IMDSv2, que requiere tokens de sesión para proteger los sitios web de ataques SSRF.
Actividad de Explotación Más Amplia
Este tipo de ataques fue destacado en un informe de F5 Labs de marzo de 2025, donde se documentaron las vulnerabilidades más explotadas del mes pasado. Algunos de los CVEs más explotados incluyen:
- CVE-2017-9841 – Ejecución remota de código en PHPUnit (69,433 intentos)
- CVE-2020-8958 – Inyección de comando en Guangzhou ONU OS (4,773 intentos)
- CVE-2023-1389 – Inyección de comando en TP-Link Archer AX21 (4,698 intentos)
- CVE-2019-9082 – Inyección PHP en ThinkPHP (3,534 intentos)
El informe destaca que las vulnerabilidades más antiguas siguen siendo altamente explotadas, con el 40% de los CVEs explotados teniendo más de 4 años.
Recomendaciones para Mitigar Amenazas ️
Para mitigar los riesgos de ataques como este, se recomienda:
- Aplicar actualizaciones de seguridad disponibles para corregir las vulnerabilidades.
- Reforzar la configuración de enrutadores y dispositivos IoT.
- Reemplazar equipos de red obsoletos con modelos compatibles.
Mantener los sistemas y servicios de AWS actualizados y seguir las mejores prácticas de seguridad puede ayudar a prevenir estos ataques y proteger los datos y recursos en la nube.