Zorganizowany atak na infrastrukturę AWS
W marcu 2025 roku badacze z F5 Labs natknęli się na kampanię, która — choć pozornie cicha — w rzeczywistości była jednym z bardziej precyzyjnych uderzeń w infrastrukturę Amazon Web Services w ostatnich miesiącach. Celem atakujących były maszyny wirtualne działające w ramach EC2, jednej z najpopularniejszych usług AWS. Wszystko wskazuje na to, że działania były ściśle zaplanowane i realizowane przez jednego aktora zagrożeń, który doskonale wiedział, gdzie uderzyć i czego szukać. Mechanizm ataku opierał się na podatności typu SSRF, czyli Server-Side Request Forgery. Choć termin ten brzmi technicznie, jego działanie można opisać prościej: to luka, która pozwala osobie trzeciej nakłonić serwer do wykonania zapytania HTTP w jej imieniu. A jeśli serwer jest odpowiednio „ustawiony” – może przez to zdradzić znacznie więcej, niż powinien. Tak było w przypadku EC2. Instancje EC2 korzystające ze starszej wersji usługi metadanych, czyli IMDSv1, stały się bramą do świata informacji, które nigdy nie powinny opuścić wnętrza maszyny. To właśnie poprzez dostęp do specjalnego wewnętrznego adresu IP, dostępnego tylko z poziomu maszyny wirtualnej, hakerzy byli w stanie wyciągnąć metadane – a wśród nich także dane uwierzytelniające IAM, czyli systemu zarządzania tożsamościami i dostępem.
Uderzenie w słabo zabezpieczone systemy
Pierwsze wzmianki o podejrzanym ruchu pojawiły się 13 marca, ale to między 15 a 25 marca zarejestrowano najbardziej intensywną aktywność. Ataki nie były chaotyczne. Wręcz przeciwnie – schemat działania sugeruje metodyczność i znajomość środowiska. Hakerzy nie tylko skanowali sieć w poszukiwaniu podatnych systemów, ale także zmieniali parametry zapytań i eksplorowali różne ścieżki metadanych, jakby testując, które z nich ujawnią najwięcej informacji. W działaniach wykorzystywano kilka adresów IP powiązanych z europejskimi operatorami, w tym firmami z Francji i Rumunii. To właśnie przez te kanały kierowane były żądania mające na celu wydobycie metadanych. Uwagę badaczy zwróciło również to, że ataki skierowane były głównie na systemy korzystające z przestarzałej wersji metadanych – IMDSv1 – mimo że od dawna dostępna jest bezpieczniejsza alternatywa: IMDSv2. W nowym systemie pobranie metadanych wymaga tokenu sesyjnego, co znacząco utrudnia przeprowadzenie ataku SSRF. Niestety, wiele firm wciąż korzysta z przestarzałych konfiguracji, które z różnych względów — czy to niewiedzy, czy opóźnień w aktualizacjach — nie zostały zmodernizowane. A to otwiera drogę dla cyberprzestępców.
Szerszy kontekst zagrożeń
Wydarzenia z marca nie były odosobnione. Raport F5 Labs z tego okresu wskazuje, że starsze luki w zabezpieczeniach wciąż są powszechnie wykorzystywane. Aż 40% ataków dotyczyło luk znanych od ponad czterech lat. Wśród nich znalazły się podatności umożliwiające zdalne wykonanie kodu w popularnych systemach zarządzania treścią i urządzeniach sieciowych. To pokazuje, że cyberprzestępcy wcale nie potrzebują nowo odkrytych luk – wystarczy, że organizacje nie aktualizują systemów na czas. Dla firm korzystających z usług chmurowych, w tym AWS, lekcja jest jasna: bezpieczeństwo nie kończy się na skonfigurowaniu instancji. To proces ciągły, który wymaga monitorowania, aktualizacji i przede wszystkim — świadomości.
