F5 Labs 연구원들이 발견한 대상 지정형 공격 캠페인에서는 AWS EC2 인스턴스에서 호스팅되는 웹사이트의 SSRF(Server-Side Request Forgery) 취약점을 악용하여 EC2 메타데이터를 추출하였습니다. 이 메타데이터에는 IMDSv1 엔드포인트에서 IAM(Identity and Access Management) 자격증명이 포함될 수 있습니다. IAM 자격증명을 획득하면 공격자는 권한을 상승시키고 S3 버킷이나 다른 AWS 서비스를 제어할 수 있게 되어, 민감한 데이터의 노출, 조작, 서비스 중단 등을 초래할 수 있습니다. 이 공격 캠페인은 2025년 3월 13일부터 25일 사이에 정점에 이르렀으며, 트래픽과 행동 패턴으로 보아 단일 위협 행위자에 의해 수행되었다고 보고되었습니다.
SSRF 문제는 공격자가 서버를 '속여' 공격자가 접근할 수 없는 내부 리소스에 대한 HTTP 요청을 대신하게 하는 웹 취약점입니다. F5가 관찰한 캠페인에서는 공격자들이 SSRF 취약점이 있는 EC2에서 호스팅되는 웹사이트를 찾아, 내부 EC2 메타데이터 URL을 원격으로 쿼리하고 민감한 데이터를 받아왔습니다. EC2 메타데이터는 AWS에서 실행되는 가상 머신에 대한 정보를 제공하는 Amazon EC2(Elastic Compute Cloud)의 서비스로, 이 정보에는 구성 세부 정보, 네트워크 설정, 그리고 보안 자격증명이 포함될 수 있습니다. 이 메타데이터 서비스는 내부 IP 주소의 특수 URL에 연결하여 가상 머신에서만 접근할 수 있습니다.
이 공격은 취약한 인스턴스가 IAM 자격증명을 포함한 메타데이터를 검색할 수 있는 권한을 가진 모든 사람에게 IMDSv1, AWS의 이전 메타데이터 서비스를 실행하고 있었기 때문에 가능했습니다. 이 시스템은 SSRF 공격으로부터 웹사이트를 보호하기 위해 세션 토큰(인증)을 요구하는 IMDSv2에 의해 대체되었습니다.
- AWS EC2 인스턴스에서 호스팅되는 웹사이트의 SSRF 취약점을 이용한 대상 지정형 공격 캠페인이 발견되었다.
- 공격자들은 SSRF 취약점을 이용하여 EC2 메타데이터를 추출하고, 이를 통해 IAM 자격증명을 획득하여 권한을 상승시켰다.
- 이 공격은 취약한 인스턴스가 AWS의 이전 메타데이터 서비스인 IMDSv1을 실행하고 있었기 때문에 가능했다.
- IMDSv1은 SSRF 공격으로부터 웹사이트를 보호하기 위해 세션 토큰(인증)을 요구하는 IMDSv2에 의해 대체되었다.
- 이 공격 캠페인은 2025년 3월 13일부터 25일 사이에 정점에 이르렀다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.