Explotación de vulnerabilidades SSRF en AWS EC2 para robo de credenciales IAM
Recientemente, se ha identificado una campaña dirigida que aprovecha vulnerabilidades de Server-Side Request Forgery (SSRF) en sitios web alojados en instancias de Amazon EC2. El objetivo principal de estos ataques es extraer metadatos sensibles del servicio EC2, incluyendo credenciales de Identity and Access Management (IAM) a través del endpoint IMDSv1 (Instance Metadata Service versión 1). Este tipo de ataque representa un riesgo significativo para la seguridad de las infraestructuras en la nube.
¿Qué es SSRF y cómo se explota en AWS EC2?
Server-Side Request Forgery (SSRF) es una vulnerabilidad que permite a un atacante manipular las solicitudes realizadas por un servidor hacia recursos internos o externos. En el contexto de AWS EC2, los atacantes pueden aprovechar esta vulnerabilidad para acceder al servicio de metadatos de la instancia (IMDS), el cual contiene información sensible como:
- Credenciales temporales de IAM
- Información de red de la instancia
- Claves de acceso a servicios AWS
- Datos de configuración del sistema
El ataque típico implica engañar al servidor vulnerable para que realice solicitudes HTTP al endpoint IMDSv1 (169.254.169.254), lo que puede permitir al atacante obtener credenciales con privilegios elevados en la cuenta de AWS.
Riesgos asociados con IMDSv1
IMDSv1 es la primera versión del servicio de metadatos de EC2 y presenta varias debilidades de seguridad:
- No requiere autenticación para acceder a los metadatos
- Es vulnerable a ataques SSRF cuando no está adecuadamente protegido
- Permite la obtención de credenciales IAM sin restricciones
AWS recomienda migrar a IMDSv2, que incluye protecciones adicionales como:
- Autenticación basada en tokens
- Protección contra solicitudes HTTP hop-by-hop
- Limitaciones en los métodos HTTP permitidos
Medidas de mitigación
Para proteger las instancias EC2 contra este tipo de ataques, se recomienda implementar las siguientes medidas:
- Actualizar todas las instancias a IMDSv2 y deshabilitar IMDSv1
- Implementar políticas IAM con el principio de mínimo privilegio
- Configurar grupos de seguridad para restringir el tráfico innecesario
- Validar y sanitizar todas las entradas del usuario que puedan generar solicitudes HTTP
- Utilizar AWS WAF para bloquear patrones de solicitud maliciosos
- Monitorear continuamente el acceso a los endpoints de metadatos
Implicaciones para la seguridad en la nube
Este incidente destaca la importancia de:
- Gestionar adecuadamente los metadatos en entornos cloud
- Actualizar regularmente las configuraciones de seguridad
- Implementar controles de seguridad en profundidad
- Capacitar a los equipos de desarrollo sobre riesgos de SSRF
Las organizaciones que utilizan AWS deben priorizar la revisión de sus configuraciones de EC2 y la implementación de IMDSv2 para reducir significativamente el riesgo de compromiso de credenciales.
Para más información sobre este tipo de ataques, consulta la Fuente original.
