EresusSecurity
Advisory içeriklerine dön
eresus-adv-2026-002HighCVSS: 8.6

ERESUS-ADV-2026-002: Cloud Metadata Endpointleri Üzerinden SSRF Riski

Yayımlandı: 2026-03-28

Özet

Eresus Labs, rutin bir cloud security assessment sırasında AWS, GCP ve Azure üzerinde çalışan uygulamalarda sık görülen bir Server-Side Request Forgery (SSRF) pattern'i tespit etti. Bu risk, kullanıcı tarafından verilen URL'lerin sunucu tarafında yeterli doğrulama olmadan fetch edilmesiyle oluşur.

Başarılı istismar durumunda saldırgan, cloud metadata endpointlerine erişebilir ve IAM credential, service account token veya ortam konfigürasyonu gibi kritik bilgilere ulaşabilir.

Etkilenen Sistemler

  • Kullanıcıdan URL alan web uygulamaları: webhook endpointleri, image fetcher'lar, PDF generator'lar.
  • AWS EC2, GCP Compute Engine veya Azure VM üzerinde çalışan ve metadata endpointine erişebilen servisler.
  • Egress filtering veya URL allowlist uygulanmadan server-side HTTP client kullanan uygulamalar.

Teknik Detaylar

Zafiyet, sunucu tarafındaki bir bileşenin kullanıcıdan gelen URL'yi güvenli şekilde doğrulamadan istemesiyle ortaya çıkar. Saldırgan, aşağıdaki gibi iç metadata adreslerini hedef gösterebilir:

http://169.254.169.254/latest/meta-data/iam/security-credentials/
http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/

HTTP client redirect takip ediyor, IP aralığı kontrolü yapmıyor veya sadece string bazlı yüzeysel filtre kullanıyorsa metadata yanıtı saldırgana dönebilir.

Etki

İstismar edilen uygulamanın bağlı olduğu IAM rolü veya service account yetkisine göre etki büyüyebilir:

  • Geçici AWS IAM credential'ları ele geçirilebilir.
  • GCP service account token'ları okunabilir.
  • Azure Managed Identity token'ları sızabilir.
  • Environment içinde bulunan database password veya API key değerleri açığa çıkabilir.

Bu risk, dışarıdan kimlik doğrulamasız başlayan bir saldırının cloud account compromise seviyesine taşınmasına neden olabilir.

CVSS 3.1 Base Score: 8.6 (High) Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Çözüm ve Azaltım

  1. AWS için IMDSv2 zorunlu hale getirin: EC2 instance'larında HttpTokens: required kullanın.
  2. URL allowlist uygulayın: Kullanıcıdan gelen URL'leri yalnızca açıkça izin verilen domain ve IP aralıklarıyla sınırlandırın.
  3. İç IP aralıklarını engelleyin: 169.254.0.0/16, 10.0.0.0/8, 172.16.0.0/12 ve link-local aralıklarına outbound istekleri engelleyin.
  4. Metadata erişimini azaltın: GCP ve Azure tarafında gereksiz metadata erişimini firewall ve identity ayarlarıyla sınırlandırın.
  5. Metadata erişim anomalilerini izleyin: AWS CloudTrail, GCP Cloud Audit Logs veya Azure Activity Logs üzerinden beklenmeyen metadata erişimlerini takip edin.

Zaman Çizelgesi

| Tarih | Olay | |---|---| | 2026-03-15 | Zafiyet pattern'i müşteri çalışması sırasında tespit edildi | | 2026-03-20 | İç doğrulama ve PoC geliştirme tamamlandı | | 2026-03-25 | Advisory taslağı Eresus Labs tarafından gözden geçirildi | | 2026-03-28 | Public advisory yayımlandı |

Kaynak Notları

  • AWS IMDSv2 dokümantasyonu
  • GCP Metadata Server best practice dokümantasyonu
  • OWASP SSRF Prevention Cheat Sheet

Eresus Notu

SSRF zafiyetleri cloud ortamlarında yalnızca internal port taraması riski değildir. Metadata servisleri ve workload identity kontrolleri doğru sınırlandırılmadığında SSRF, credential exposure ve cloud privilege escalation zincirine dönüşebilir.