ハッカーがEC2でホストされているサイトのSSRFバグを狙い、AWSの認証情報を盗む

Security

記事本文(要約)

AWS EC2インスタンス上のウェブサイトで発生したサーバーサイドリクエストフォージェリ(SSRF)の脆弱性を狙ったキャンペーンが報告されました。この脆弱性を利用することで攻撃者はEC2メタデータを取得し、IAMの資格情報を悪用してAWSサービスにアクセスできます。F5 Labsの研究者によって発見されたこの攻撃は、2025年3月13日から25日にかけて特定の攻撃者によって実行されたとされています。この攻撃はIMDSv1を利用するEC2インスタンスの脆弱性を突いたもので、より安全なIMDSv2の導入が推奨されます。

さらに、2025年3月の脅威トレンド報告では、以下のCVEが特に多く悪用されたと記録されています: – CVE-2017-9841 (PHPUnitのリモートコード実行)

– CVE-2020-8958 (Guangzhou ONUのOSコマンドインジェクション)

– CVE-2023-1389 (TP-Link Archer AX21のコマンドインジェクション)

– CVE-2019-9082 (ThinkPHPのPHPインジェクション)

これらの攻撃を防ぐためには、セキュリティアップデートの適用やネットワーク機器の設定強化が推奨されます。

※この要約はChatGPTを使用して生成されました。

公開日: Wed, 09 Apr 2025 16:58:59 -0400

Original URL: https://www.bleepingcomputer.com/news/security/hackers-target-ssrf-bugs-in-ec2-hosted-sites-to-steal-aws-credentials/

詳細な技術情報

  • CVE番号
    • この文章自体には直接記載されていませんが、攻撃者が利用したと推定されるCVE番号は、AWSのEC2インスタンス上のSSRF脆弱性に関連した特定のCVEではないため、記載がありません。しかし、他のコンテキストでは以下のようなCVEが頻繁に名前が挙がっています。
      • 1. CVE-2017-9841 – PHPUnitのリモートコード実行
      • 2. CVE-2020-8958 – Guangzhou ONU OSのコマンドインジェクション
      • 3. CVE-2023-1389 – TP-Link Archer AX21のコマンドインジェクション
      • 4. CVE-2019-9082 – ThinkPHPのPHPインジェクション
  • 脆弱性の仕組み
    • 文章で言及されている脆弱性は、**Server-Side Request Forgery (SSRF)** です。この脆弱性を通じて、攻撃者はターゲットのサーバーに対し内部リソースへのHTTPリクエストを発生させ、そのレスポンスを得ることができます。SSRFは特に、攻撃者が通常アクセスできない内部ネットワークリソースへのアクセスを可能にします。
  • 攻撃手法
    • SSRF攻撃: 攻撃者はSSRF脆弱性を利用して、AWS EC2インスタンス上のWebサイトを対象に内部メタデータサービスへのリクエストを発生させました。この攻撃により、攻撃者はEC2メタデータからIAMの認証情報を取得しました。
    • 攻撃者の行動: 攻撃はFBW Networks SASのIPを利用し、クエリパラメータやパスを変化させつつ、計画的かつ体系的に行われました。
  • 潜在的な影響 攻撃者がIAMの認証情報を取得することで、以下のような影響が考えられます。
    • 権限のエスカレーション: 攻撃者が他のAWSサービスへのアクセスレベルを拡大することが可能になります。
    • データの露呈と改ざん: S3バケットへの不正アクセスや、データの変更、漏えいが起こり得ます。
    • サービスの妨害: AWSサービスの一部が不正に制御されることで、サービス提供の停止や中断が発生する可能性があります。
  • 推奨される対策
    • 1. IMDSv2の利用: AWSではIMDSv2を使用することで、SSRF攻撃による認証情報の流出を防ぐことができます。IMDSv2はセッショントークンを必要とし、より強力な認証を提供します。
    • 2. セキュリティパッチの適用: サーバーソフトウェアやアプリケーションに最新のセキュリティパッチを適用し、既知の脆弱性を修正します。
    • 3. アクセス制御の強化: 内部リソースへのアクセスは厳格に制御し、必要最低限の許可に制限します。
    • 4. ネットワーク設定の見直し: 不要なサービスやポートのオープン状況を見直し、不必要なインターネットアクセスを制限します。
    • 5. ログの監視と分析: 異常なトラフィックや不審なIPからのアクセスを検出するために、適切なログを監視し分析します。