【安全资讯】黑客利用SSRF漏洞攻击EC2托管网站窃取AWS凭证

概要：

近期，一场针对AWS EC2托管网站的网络攻击引起了广泛关注。黑客利用服务器端请求伪造（SSRF）漏洞，成功提取了EC2元数据，包括身份与访问管理（IAM）凭证。这一事件不仅影响了多个企业的安全，也引发了对云服务安全性的深刻反思。

主要内容：

此次攻击活动由F5 Labs研究人员发现，发生在2025年3月13日至25日之间。黑客通过利用EC2托管网站的SSRF漏洞，远程查询内部EC2元数据URL，从而获取敏感信息。EC2元数据服务提供关于在AWS上运行的虚拟机的信息，包括配置细节和安全凭证。攻击者通过访问特定的内部IP地址（如http://169.254.169.254/latest/meta-data/）来获取这些信息。

攻击者的策略相当系统化，他们在攻击期间轮换了多个查询参数和子路径，显示出其精心策划的攻击手法。由于受害实例运行的是IMDSv1，黑客能够轻易获取存储的IAM凭证。IMDSv1是AWS较旧的元数据服务，已被IMDSv2取代，后者需要会话令牌以增强安全性。

F5 Labs的报告指出，尽管新漏洞不断出现，四年前的旧漏洞仍然是攻击的主要目标，40%的被利用CVE超过四年。为了应对这些威胁，建议企业及时应用安全更新，加强路由器和物联网设备的配置，并更换过时的网络设备。