แคมเปญการโจมตีแบบกำหนดเป้าหมายได้ใช้ประโยชน์จากช่องโหว่ Server-Side Request Forgery (SSRF) บนเว็บไซต์ที่โฮสต์อยู่บน AWS EC2 เพื่อดึงข้อมูล EC2 Metadata ซึ่งอาจรวมถึงข้อมูล Credentials ในส่วนของ Identity และ Access Management (IAM) จากปลายทาง IMDSv1
โดยการดึงข้อมูล IAM credentials ได้สำเร็จจะทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ และเข้าถึงทรัพยากรต่าง ๆ บน AWS เช่น S3 bucket หรือควบคุมบริการอื่น ๆ ได้ ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลสำคัญ การแก้ไขข้อมูล หรืออาจทำให้บริการล่มได้
นักวิจัยของ F5 Labs เป็นผู้ค้นพบแคมเปญนี้ ซึ่งรายงานว่าพฤติกรรมที่เป็นอันตรายเหล่านี้เกิดขึ้นระหว่างวันที่ 13 ถึง 25 มีนาคม 2025 โดยรูปแบบการรับส่งข้อมูล และพฤติกรรมแสดงให้เห็นได้อย่างชัดเจนว่ากิจกรรมดังกล่าว เป็นฝีมือของผู้โจมตีรายเดียว
ภาพรวมของแคมเปญ
ช่องโหว่ SSRF คือ ช่องโหว่บนเว็บไซต์ที่ทำให้ผู้โจมตีสามารถ "หลอก" เซิร์ฟเวอร์ให้ทำการส่ง HTTP requests ไปยัง internal resources ซึ่งโดยปกติแล้วผู้โจมตีจะไม่สามารถเข้าถึงได้
ในแคมเปญที่ F5 สังเกตพบว่า ผู้โจมตีได้ค้นหาเว็บไซต์ที่โฮสต์อยู่บน EC2 ซึ่งมีช่องโหว่ SSRF และใช้ช่องโหว่นี้ในการส่งคำขอไปยัง URL ภายในของบริการ EC2 Metadata เพื่อดึงข้อมูลสำคัญกลับมา
บริการ EC2 Metadata คือบริการของ Amazon EC2 (Elastic Compute Cloud) ที่ให้ข้อมูลเกี่ยวกับ Virtual Machine ที่ทำงานบน AWS ข้อมูลเหล่านี้อาจรวมถึงรายละเอียดการตั้งค่า การเชื่อมต่อเครือข่าย และข้อมูล security credentials
บริการ Metadata นี้สามารถเข้าถึงได้จากเครื่อง virtual machine เท่านั้น โดยการเชื่อมต่อกับ URL พิเศษบน IP address ภายใน เช่น http://169.254.169.254/latest/meta-data/
การโจมตีแบบ SSRF ครั้งแรกถูกพบเมื่อวันที่ 13 มีนาคม แต่แคมเปญการโจมตีก็เพิ่มจำนวนมากขึ้น ในระหว่างวันที่ 15 ถึง 25 มีนาคม โดยมีการใช้ SAS IP ของ FBW Networks หลายรายการในฝรั่งเศสและโรมาเนีย
ในช่วงเวลาดังกล่าว ผู้โจมตีได้หมุนเวียนชื่อพารามิเตอร์ในการส่ง requests (query parameter) จำนวน 6 ชื่อ ได้แก่ dest, file, redirect, target, URI และ URL รวมไปถึง subpath จำนวนอีก 4 เส้นทาง เช่น
/meta-data/ และ /user-data ซึ่งแสดงให้เห็นถึงแนวทางที่เป็นระบบในการขโมยข้อมูลที่สำคัญจากเว็บไซต์ที่มีช่องโหว่
การโจมตีได้ผลเนื่องจาก instances ที่มีช่องโหว่มีการทำงานบน IMDSv1 ซึ่งเป็น service metadata รุ่นเก่าของ AWS ที่อนุญาตให้ทุกคนที่มีสิทธิ์เข้าถึง instances สามารถดึงข้อมูล metadata ได้ รวมไปถึงข้อมูล IAM credentials ที่มีการจัดเก็บไว้ด้วย
ระบบนี้ถูกแทนที่ด้วย IMDSv2 ซึ่งต้องใช้ session tokens เพื่อปกป้องเว็บไซต์จากการโจมตีแบบ SSRF
การโจมตีที่แพร่หลายมากขึ้น
การโจมตีเหล่านี้ถูกเน้นย้ำในรายงาน March 2025 threat trends ซึ่ง F5 Labs ได้บันทึกช่องโหว่ที่ถูกใช้ในการโจมตีมากที่สุดสำหรับเดือนที่ผ่านมา
ช่องโหว่ 4 อันดับแรกที่ถูกโจมตีมากที่สุดตามปริมาณ ได้แก่
- CVE-2017-9841 เป็นช่องโหว่การเรียกใช้โค้ด PHPUnit จากระยะไกลผ่าน eval-stdin.php (พยายาม 69,433 ครั้ง)
- CVE-2020-8958 เป็นช่องโหว่ OS command injection ที่มีการรันโค้ดจากระยะไกลของอุปกรณ์ Guangzhou ONU (พยายาม 4,773 ครั้ง)
- CVE-2023-1389 เป็นช่องโหว่ command injection ที่มีการรันโค้ดจากระยะไกลของเราเตอร์ TP-Link Archer AX21 (พยายาม 4,698 ครั้ง)
- CVE-2019-9082 เป็นช่องโหว่ PHP injection ที่มีการรันโค้ดจากระยะไกลของ ThinkPHP (พยายาม 3,534 ครั้ง)
รายงานเน้นย้ำว่าช่องโหว่เก่ายังคงเป็นเป้าหมายในการโจมตีอยู่ตลอด โดยมี CVE ที่มีอายุมากกว่า 4 ปีถูกโจมตีถึง 40%
เพื่อลดความเสี่ยงจากภัยคุกคามเหล่านี้ แนะนำให้อัปเดตแพตช์ด้านความปลอดภัย และตรวจสอบการตั้งค่าเราเตอร์ และอุปกรณ์ IoT รวมไปถึงเปลี่ยนอุปกรณ์เครือข่ายที่สิ้นสุดอายุการใช้งานด้วยรุ่นที่ยังได้รับการสนับสนุนอยู่
ที่มา : bleepingcomputer
You must be logged in to post a comment.