Uma campanha maliciosa explorou vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF) em sites hospedados em instâncias EC2 da AWS para acessar os metadados dessas máquinas virtuais, o que permitiu a extração de credenciais IAM. Com essas credenciais, os invasores puderam potencialmente escalar privilégios e obter acesso a outros serviços da AWS, como buckets S3, comprometendo dados sensíveis e podendo causar interrupções operacionais.
Leia também
Como o Google usa I.A. para migrar seu próprio código
Surto de ataques de phishing com QR codes
A campanha foi descoberta por pesquisadores do F5 Labs e teve seu auge entre os dias 13 e 25 de março de 2025. A análise de tráfego e dos padrões de ataque sugere que a atividade foi conduzida por um único agente de ameaça. Os atacantes exploraram instâncias EC2 que ainda utilizavam o IMDSv1, uma versão antiga do serviço de metadados da AWS que permite o acesso aos dados sem autenticação. Eles manipularam parâmetros de consulta como “dest”, “file”, “redirect”, “target”, “URI” e “URL”, e utilizaram diferentes caminhos internos, como “/meta-data/” e “/user-data”, em uma tentativa sistemática de extrair o maior volume possível de informações.
Os metadados do EC2 são acessíveis apenas internamente, por meio de IPs especiais, como o 169.254.169.254, e podem incluir detalhes sobre a instância, incluindo credenciais de segurança vinculadas a funções do IAM. A AWS introduziu o IMDSv2 justamente para mitigar esse tipo de ataque, exigindo o uso de tokens de sessão para autorizar o acesso aos metadados, o que impede ataques via SSRF quando corretamente implementado.
A atividade foi destacada em um relatório de tendências de ameaças publicado pelo F5 Labs, que também identificou as vulnerabilidades mais exploradas no mês anterior. Entre os CVEs com maior número de tentativas estão falhas conhecidas e antigas, como a CVE-2017-9841 no PHPUnit, com mais de 69 mil tentativas de exploração. O relatório mostra que 40% das vulnerabilidades ativamente exploradas têm mais de quatro anos, o que reforça a importância de manter os ambientes atualizados, aplicar correções e substituir dispositivos e softwares que atingiram o fim de vida útil. Além disso, é essencial revisar a configuração dos serviços em nuvem, limitar o escopo de acesso a recursos internos e utilizar mecanismos modernos de autenticação sempre que disponíveis.
