Χάκερ κλέβουν διαπιστευτήρια AWS μέσω σφαλμάτων SSRF
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ κλέβουν διαπιστευτήρια AWS μέσω σφαλμάτων SSRF
https://www.secnews.gr/645885/hacker-klevoun-diapisteftiria-aws-meso-sfalmaton-ssrf/
Apr 10th 2025, 11:48
by Absenta Mia
Μια στοχευμένη καμπάνια εκμεταλλεύτηκε τις ευπάθειες Server-Side Request Forgery (SSRF) σε ιστοσελίδες που φιλοξενούνται σε περιβάλλοντα AWS EC2, προκειμένου να εξάγει μεταδεδομένα EC2, τα οποία μπορεί να περιλαμβάνουν διαπιστευτήρια Identity and Access Management (IAM) από το σημείο IMDSv1.
Δείτε επίσης: Το ML-KEM της AWS ασφαλίζει το TLS από κβαντικές απειλές
Η απόκτηση διαπιστευτηρίων IAM επιτρέπει στους επιτιθέμενους να αυξήσουν τα προνόμιά τους και να αποκτήσουν πρόσβαση σε S3 buckets ή να ελέγξουν άλλες υπηρεσίες AWS, γεγονός που μπορεί να οδηγήσει σε έκθεση, παραποίηση ευαίσθητων δεδομένων και διακοπή υπηρεσιών.
Η καμπάνια ανακαλύφθηκε από ερευνητές της F5 Labs, οι οποίοι αναφέρουν ότι η κακόβουλη δραστηριότητα κορυφώθηκε μεταξύ 13 και 25 Μαρτίου 2025. Οι κυκλοφοριακοί και συμπεριφορικοί δείκτες υποδεικνύουν έντονα ότι εκτελέστηκε από έναν μόνο απειλητικό παράγοντα.
Τα προβλήματα SSRF είναι αδυναμίες στον ιστό που επιτρέπουν στους επιτιθέμενους να "παγιδεύσουν" έναν διακομιστή ώστε να πραγματοποιεί HTTP αιτήματα σε εσωτερικούς πόρους εκ μέρους τους, οι οποίοι συνήθως δεν είναι προσβάσιμοι από τον επιτιθέμενο.
Στην εκστρατεία που παρατήρησε η F5, οι επιτιθέμενοι εντόπισαν ιστοσελίδες που φιλοξενούνται σε EC2 με αδυναμίες SSRF, επιτρέποντάς τους να κάνουν απομακρυσμένα ερωτήματα στις εσωτερικές διευθύνσεις URL Μεταδεδομένων EC2 και να αποκτούν ευαίσθητα δεδομένα.
Τα Μεταδεδομένα EC2 είναι μια υπηρεσία στην Amazon EC2 (Elastic Compute Cloud) που παρέχει πληροφορίες σχετικά με μια εικονική μηχανή που εκτελείται στο AWS. Αυτές οι πληροφορίες μπορεί να περιλαμβάνουν λεπτομέρειες ρύθμισης, ρυθμίσεις δικτύου και ενδεχομένως, διαπιστευτήρια ασφαλείας.
Δείτε ακόμα: Ocelot: Το quantum computing chip της Amazon Web Services (AWS)
Αυτή η υπηρεσία μεταδεδομένων είναι προσβάσιμη μόνο από την εικονική μηχανή μέσω σύνδεσης σε ειδικές διευθύνσεις URL σε εσωτερικές διευθύνσεις IP, όπως το http://169.254.169.254/latest/meta-data/.
Χάκερ κλέβουν διαπιστευτήρια AWS μέσω σφαλμάτων SSRF
Η πρώτη κακόβουλη προσπάθεια SSRF καταγράφηκε στις 13 Μαρτίου, αλλά η εκστρατεία κλιμακώθηκε πλήρως μεταξύ 15 και 25 Μαρτίου, χρησιμοποιώντας αρκετές διευθύνσεις IP της FBW Networks SAS που εδρεύουν στη Γαλλία και τη Ρουμανία.
Κατά τη διάρκεια αυτής της περιόδου, οι επιτιθέμενοι άλλαξαν έξι ονόματα παραμέτρων ερωτήματος (dest, file, redirect, target, URI, URL) και τέσσερις υποκαταλόγους (π.χ., /meta-data/, /user-data), αποδεικνύοντας μια συστηματική προσέγγιση στην εξαγωγή ευαίσθητων δεδομένων από ευάλωτους ιστότοπους.
Οι επιθέσεις ήταν επιτυχείς διότι οι ευάλωτες περιπτώσεις λειτουργούσαν με το IMDSv1, την παλαιότερη υπηρεσία μεταδεδομένων της AWS, η οποία επιτρέπει σε οποιονδήποτε έχει πρόσβαση να ανακτήσει τα μεταδεδομένα, συμπεριλαμβανομένων των αποθηκευμένων διαπιστευτηρίων IAM. Το σύστημα έχει αντικατασταθεί από το IMDSv2, το οποίο απαιτεί διακριτικά συνεδρίας (αυθεντικοποίηση) για να προστατεύει τους ιστότοπους από επιθέσεις SSRF.
Δείτε επίσης: AWS Key Hunter: Το δωρεάν εργαλείο εντοπισμού εκτεθειμένων κλειδιών
Οι κακόβουλες καμπάνιες, είναι οργανωμένες ενέργειες που στοχεύουν να προκαλέσουν ζημιά, να παραπλανήσουν ή να αποσπάσουν πληροφορίες, συχνά μέσω του διαδικτύου. Συνήθως εκτελούνται από χάκερς, ομάδες κυβερνοεγκλήματος ή ακόμα και κρατικούς φορείς. Σκοπός αυτών των καμπανιών είναι η κλοπή δεδομένων ή χρημάτων, η παρακολούθηση ή η κατασκοπεία, η καταστροφή της φήμης οργανισμών ή ατόμων, η πολιτική ή ιδεολογική επιρροή και η κατάρρευση ή η υπονόμευση υπηρεσιών και υποδομών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ κλέβουν διαπιστευτήρια AWS μέσω σφαλμάτων SSRF
https://www.secnews.gr/645885/hacker-klevoun-diapisteftiria-aws-meso-sfalmaton-ssrf/
Apr 10th 2025, 11:48
by Absenta Mia
Μια στοχευμένη καμπάνια εκμεταλλεύτηκε τις ευπάθειες Server-Side Request Forgery (SSRF) σε ιστοσελίδες που φιλοξενούνται σε περιβάλλοντα AWS EC2, προκειμένου να εξάγει μεταδεδομένα EC2, τα οποία μπορεί να περιλαμβάνουν διαπιστευτήρια Identity and Access Management (IAM) από το σημείο IMDSv1.
Δείτε επίσης: Το ML-KEM της AWS ασφαλίζει το TLS από κβαντικές απειλές
Η απόκτηση διαπιστευτηρίων IAM επιτρέπει στους επιτιθέμενους να αυξήσουν τα προνόμιά τους και να αποκτήσουν πρόσβαση σε S3 buckets ή να ελέγξουν άλλες υπηρεσίες AWS, γεγονός που μπορεί να οδηγήσει σε έκθεση, παραποίηση ευαίσθητων δεδομένων και διακοπή υπηρεσιών.
Η καμπάνια ανακαλύφθηκε από ερευνητές της F5 Labs, οι οποίοι αναφέρουν ότι η κακόβουλη δραστηριότητα κορυφώθηκε μεταξύ 13 και 25 Μαρτίου 2025. Οι κυκλοφοριακοί και συμπεριφορικοί δείκτες υποδεικνύουν έντονα ότι εκτελέστηκε από έναν μόνο απειλητικό παράγοντα.
Τα προβλήματα SSRF είναι αδυναμίες στον ιστό που επιτρέπουν στους επιτιθέμενους να "παγιδεύσουν" έναν διακομιστή ώστε να πραγματοποιεί HTTP αιτήματα σε εσωτερικούς πόρους εκ μέρους τους, οι οποίοι συνήθως δεν είναι προσβάσιμοι από τον επιτιθέμενο.
Στην εκστρατεία που παρατήρησε η F5, οι επιτιθέμενοι εντόπισαν ιστοσελίδες που φιλοξενούνται σε EC2 με αδυναμίες SSRF, επιτρέποντάς τους να κάνουν απομακρυσμένα ερωτήματα στις εσωτερικές διευθύνσεις URL Μεταδεδομένων EC2 και να αποκτούν ευαίσθητα δεδομένα.
Τα Μεταδεδομένα EC2 είναι μια υπηρεσία στην Amazon EC2 (Elastic Compute Cloud) που παρέχει πληροφορίες σχετικά με μια εικονική μηχανή που εκτελείται στο AWS. Αυτές οι πληροφορίες μπορεί να περιλαμβάνουν λεπτομέρειες ρύθμισης, ρυθμίσεις δικτύου και ενδεχομένως, διαπιστευτήρια ασφαλείας.
Δείτε ακόμα: Ocelot: Το quantum computing chip της Amazon Web Services (AWS)
Αυτή η υπηρεσία μεταδεδομένων είναι προσβάσιμη μόνο από την εικονική μηχανή μέσω σύνδεσης σε ειδικές διευθύνσεις URL σε εσωτερικές διευθύνσεις IP, όπως το http://169.254.169.254/latest/meta-data/.
Χάκερ κλέβουν διαπιστευτήρια AWS μέσω σφαλμάτων SSRF
Η πρώτη κακόβουλη προσπάθεια SSRF καταγράφηκε στις 13 Μαρτίου, αλλά η εκστρατεία κλιμακώθηκε πλήρως μεταξύ 15 και 25 Μαρτίου, χρησιμοποιώντας αρκετές διευθύνσεις IP της FBW Networks SAS που εδρεύουν στη Γαλλία και τη Ρουμανία.
Κατά τη διάρκεια αυτής της περιόδου, οι επιτιθέμενοι άλλαξαν έξι ονόματα παραμέτρων ερωτήματος (dest, file, redirect, target, URI, URL) και τέσσερις υποκαταλόγους (π.χ., /meta-data/, /user-data), αποδεικνύοντας μια συστηματική προσέγγιση στην εξαγωγή ευαίσθητων δεδομένων από ευάλωτους ιστότοπους.
Οι επιθέσεις ήταν επιτυχείς διότι οι ευάλωτες περιπτώσεις λειτουργούσαν με το IMDSv1, την παλαιότερη υπηρεσία μεταδεδομένων της AWS, η οποία επιτρέπει σε οποιονδήποτε έχει πρόσβαση να ανακτήσει τα μεταδεδομένα, συμπεριλαμβανομένων των αποθηκευμένων διαπιστευτηρίων IAM. Το σύστημα έχει αντικατασταθεί από το IMDSv2, το οποίο απαιτεί διακριτικά συνεδρίας (αυθεντικοποίηση) για να προστατεύει τους ιστότοπους από επιθέσεις SSRF.
Δείτε επίσης: AWS Key Hunter: Το δωρεάν εργαλείο εντοπισμού εκτεθειμένων κλειδιών
Οι κακόβουλες καμπάνιες, είναι οργανωμένες ενέργειες που στοχεύουν να προκαλέσουν ζημιά, να παραπλανήσουν ή να αποσπάσουν πληροφορίες, συχνά μέσω του διαδικτύου. Συνήθως εκτελούνται από χάκερς, ομάδες κυβερνοεγκλήματος ή ακόμα και κρατικούς φορείς. Σκοπός αυτών των καμπανιών είναι η κλοπή δεδομένων ή χρημάτων, η παρακολούθηση ή η κατασκοπεία, η καταστροφή της φήμης οργανισμών ή ατόμων, η πολιτική ή ιδεολογική επιρροή και η κατάρρευση ή η υπονόμευση υπηρεσιών και υποδομών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια