Une campagne ciblée a exploité les vulnérabilités de falsification des requêtes côté serveur (SSRF) dans les sites Web hébergés sur des instances AWS EC2 pour extraire des métadonnées EC2, qui pourraient inclure des informations d’identification de gestion des identités et des accès (IAM) à partir du point de terminaison IMDSv1.
La récupération des informations d’identification IAM permet aux attaquants d’augmenter leurs privilèges et d’accéder aux compartiments S3 ou de contrôler d’autres services AWS, ce qui peut entraîner une exposition, une manipulation et une interruption de service des données sensibles.
La campagne a été découverte par des chercheurs de F5 Labs, qui rapportent que l’activité malveillante a culminé entre le 13 et le 25 mars 2025. Le trafic et les schémas comportementaux suggèrent fortement qu’il a été effectué par un seul acteur menaçant.
Aperçu de la campagne
Les problèmes SSRF sont des failles Web qui permettent aux attaquants de « tromper » un serveur pour qu’il fasse des requêtes HTTP aux ressources internes en leur nom, qui ne sont généralement pas accessibles par l’attaquant.
Dans la campagne observée par F5, les attaquants ont localisé des sites Web hébergés sur EC2 avec des failles SSRF, leur permettant d’interroger à distance les URL de métadonnées EC2 internes et de recevoir des données sensibles.
Les métadonnées EC2 sont un service dans Amazon EC2 (Elastic Compute Cloud) qui fournit des informations sur une machine virtuelle exécutée sur AWS. Ces informations peuvent inclure des détails de configuration, des paramètres réseau et potentiellement des informations d’identification de sécurité.
Ce service de métadonnées n’est accessible par la machine virtuelle qu’en se connectant à des URL spéciales sur des adresses IP internes, telles que http://169.254.169.254/latest/meta-data/.
La première sonde SSRF malveillante a été enregistrée le 13 mars, mais la campagne a pris de l’ampleur entre le 15 et le 25 mars, utilisant plusieurs adresses IP SAS de réseaux FBW basées en France et en Roumanie.
Pendant ce temps, les attaquants ont fait pivoter six noms de paramètres de requête (dest, file, redirect, target, URI, URL) et quatre sous-chemins (par exemple, / meta-data/, / user-data), montrant une approche systématique pour exfiltrer les données sensibles des sites vulnérables.
Les attaques ont fonctionné car les instances vulnérables s’exécutaient sur IMDSv1, l’ancien service de métadonnées d’AWS qui permet à toute personne ayant accès à l’instance de récupérer les métadonnées, y compris toutes les informations d’identification IAM stockées.
Le système a été remplacé par IMDSv2, qui nécessite des jetons de session (authentification) pour protéger les sites Web contre les attaques SSRF.
Activité d’exploitation plus large
Ces attaques ont été mises en évidence dans un rapport sur les tendances des menaces de mars 2025 dans lequel F5 Labs a documenté les vulnérabilités les plus exploitées au cours du mois dernier.
Les quatre principales CVE les plus exploitées en volume étaient:
- CVE-2017-9841 – Exécution de code à distance PHPUnit via eval-stdin.php (69 433 tentatives)
- CVE-2020-8958 – Injection de commande OS ONU Guangzhou RCE (4 773 tentatives)
- CVE-2023-1389 – RCE d’injection de commandes TP-Link Archer AX21 (4 698 tentatives)
- CVE-2019-9082 – RCE d’injection PHP ThinkPHP (3 534 tentatives)
Le rapport souligne que les vulnérabilités plus anciennes restent très ciblées, 40% des CVE exploitées ayant plus de quatre ans.
Pour atténuer les menaces, il est recommandé d’appliquer les mises à jour de sécurité disponibles, de renforcer les configurations des routeurs et des périphériques IoT et de remplacer l’équipement réseau EoL par des modèles pris en charge.