Les sites Web de buggy hébergés sur les instances EC2 peuvent permettre aux attaquants d’envoyer des demandes d’accès non autorisées pour les métadonnées d’instance EC2 exposées.
Dans une nouvelle campagne, les acteurs de la menace ont essayé d’accéder aux métadonnées d’instance EC2, qui consiste en des informations de serveur virtuels sensibles telles que l’adresse IP, l’ID d’instance et les informations d’identification de sécurité en exploitant les bogues de contrefaçon de demande côté serveur (SSRF) dans les sites Web hébergés sur AWS.
Selon les observations faites par F5 Labs, les acteurs de la menace ont exploité la version 1 du service des métadonnées d’instance (IMDSV1), une ancienne version du service qui applique les métadonnées des instances EC2, qui est vulnérable aux attaques SSRF.
« En mars 2025, nous avons observé une rafale de quatre jours d’activité pour compromettre les métadonnées d’instance EC2 exposées par inadvertance par des sites Web via le contrefaçon de demande côté serveur (SSRF) », ont déclaré les chercheurs de F5 Labs dans un article de blog.
Les métadonnées EC2 sont des informations sur une instance EC2 en cours d’exécution qui est disponible via un point de terminaison Internet spécial, comme IMDSV1, sans authentification ou appels API externes à utiliser par des applications exécutées sur les cas.
L’exploitation combine deux faiblesses
« L’exploitation de cette campagne est une combinaison de CWE-200: Exposition d’informations sensibles à un acteur non autorisé, et CWE-918: Falonge de demande côté serveur (SSRF) », ont déclaré les chercheurs.
L’exposition des informations sensibles provient des utilisateurs qui se fondent sur un IMDS dépassé, la version 1, au lieu de son successeur, IMDSV2 qui nécessite un jeton de session et des protections supplémentaires, protégeant contre les attaques SSRF.
SSRF est un type de vulnérabilité de sécurité Web qui permet à un attaquant de faire un serveur d’envoi de demandes à d’autres systèmes internes ou externes pour accéder aux ressources qui ne sont pas directement exposées à Internet.
Dans ce cas particulier, les chercheurs de la F5 ont trouvé des bogues SSRF sous la forme d’une fonctionnalité intentionnellement ou involontairement exposée sur un site Web – hébergé sur une instance EC2 – pour récupérer du contenu sur HTTP.
WAF plus stricte et le passage à IMDSV2 peut aider
Le premier et avant tout, les chercheurs de l’assainissement F5 ont déclaré que les utilisateurs devraient s’appliquer est de migrer vers IMDSV2 à partir d’IMDSV1. Après la migration, un attaquant serait tenu de fournir un secret via un en-tête personnalisé (X-AWS-EC2-Metadata-Token) pour une exploitation réussie.
« Cela atténue pleinement l’exposition des métadonnées EC2 via SSRF car les vulnérabilités SSRF n’exposent généralement pas la capacité de spécifier les en-têtes, et un attaquant devrait déterminer le secret en outre », ont ajouté les chercheurs.
De plus, il est conseillé aux utilisateurs d’envisager d’appliquer des règles WAF, au point de terminaison concernées, pour interdire les demandes des adresses IP signalées ou celles avec «169.254.169.254» qui est l’IP interne utilisée par AWS (ainsi que Azure et Google Cloud) pour servir les métadonnées d’instance à EC2.
Les acteurs de la menace ont effectué une reconnaissance initiale le 13 mars à partir de l’IP 193.41.206.72, ont ajouté des chercheurs. La campagne principale a commencé deux jours plus tard à partir de l’IP 193.41.206.189, faisant du vélo à travers plusieurs IP dans le même ASN sur six jours, avant de se débrouiller et de se terminer d’ici le 25 mars. «Toutes les adresses IP de la campagne appartiennent à l’ASN: 34534. Cet ASN est détenu par une entreprise française» FBW Networks Sas «, même si la géographie est fondée sur la FBW et les Rananies.
