Amazon Web Services (AWS) ve IMDS Güvenlik Açığı
Son dönemde bulut güvenliği üzerine gerçekleştirilen çalışmalar, pek çok kurum ve kuruluş için kritik öneme sahip hale geldi. Wiz adlı güvenlik şirketi, bir Linux yardımcı programı olan Pandoc‘da keşfedilen bir güvenlik açığının, AWS’nin Instance Metadata Service (IMDS) üzerinde gerçekleştirilen saldırılarla kullanıldığını bildirdi. Bu durum, bulut güvenliği alanında alınması gereken önlemleri bir kez daha gündeme getirdi.
CVE-2025-51591 Açığı ve Etkileri
Keşfedilen güvenlik açığı CVE-2025-51591 (CVSS puanı: 6.5), Server-Side Request Forgery (SSRF) türü bir açık olup, saldırganların hedef sistemleri, özel olarak tasarlanmış HTML iframe elementleri ile tehdit altına almasına olanak tanımaktadır. IMDS, AWS bulut ortamında çalışan örneklerin bilgi alabileceği kritik bir bileşendir. Örnek metadata’sı, herhangi bir EC2 örneğinde çalışan uygulamalar için bir bağlantı adresi üzerinden erişilebilir durumdadır.
Bu tür bir açık, IAM (Identity and Access Management) rolü ile ilişkilendirilmiş bir örneğin, geçici ve kısa ömürlü kimlik bilgilerini sağlaması nedeniyle de oldukça tehlikelidir. Saldırganlar, IMDS’nin sağladığı bu kimlik bilgilerini ele geçirerek, diğer AWS hizmetleri ile güvenli bir şekilde etkileşime geçebilmektedirler.
Açıkların Sömürülmesi ve Sonuçları
Wiz araştırmacıları, saldırganların SSRF açılarını kullanarak AWS alt yapısını hedef almalarına dair endişelerin giderek arttığını belirtiyor. Uzmanlar, IMDS’ye erişim sağlayabilen uygulamaların, saldırganlar tarafından kötüye kullanılabileceği konusunda uyarmaktadırlar. Google’a ait Mandiant, erken 2022’de, bazı tehdit aktörlerinin IMDS ile elde edilen kimlik bilgilerini kullanarak AWS ortamlarına saldırdığını tespit etti.
IMDS, özellikle IMDSv1 ile talep ve yanıt protokolü olarak çalışması nedeniyle saldırganlar için oldukça cazip bir hedef haline gelmektedir. Resecurity tarafından yayımlanan bir raporda ise, SSRF açıklarının bulut alt yapısına karşı hacimlenen tehditleri artırarak önemli sonuçlara yol açabileceği ifade edilmektedir.
IMDSv2’nin Önemi ve Savunma Yöntemleri
Wiz’in araştırmasında, IMDS hizmetine yönelik saldırıların halen aktif olarak devam ettiği gözlemlendi. IMDSv2’nin ise, bu tür saldırılara karşı önemli bir savunma mekanizması sunduğu belirtilmiştir. IMDSv2, belirli bir oturum süresi gerektirerek, saldırganların SSRF açıklarıyla elde ettiği yetkisiz erişim risklerini azaltmaktadır. Bunun yanı sıra, token kullanma gerekliliği, diğer bir güvenlik katmanını oluşturur.
Bu güvenlik açığının etkilerini en aza indirmek için önerilen yöntemler arasında Pandoc’un “-f html+raw_html” veya “–sandbox” seçeneklerinin kullanılması bulunmaktadır. Bu ayarlar, iframe elementlerinin içeriklerinin dahil edilmesini engelleyerek güvenlik açıklarını azaltmaktadır.
Etkili Savunma Stratejileri
Kuruluşlara, IMDSv2‘yi tüm EC2 örneklerinde zorunlu kılmaları, IAM rolleri belirlerken least privilege (en az ayrıcalık) ilkesini takip etmeleri önerilmektedir. Bunun yanı sıra, üçüncü taraf yazılımlarla ilgili güncellemelerin yapılması da kritik öneme sahiptir.
Pandoc geliştiricileri, iframe’lerin görüntülenmesinin beklenen bir davranış olduğunu belirterek, kullanıcıların girdi verilerini temizlemek veya uygun ayarları yapmakla sorumlu olduğunu açıklamışlardır.
Sonuç ve Tavsiyeler
Güvenlik açıkları, özellikle bulut altyapısında büyük tehditler oluşturabilmektedir. Saldırganlar, bazen basit bir SSRF açığı ile büyük verileri ele geçirebilmektedirler. Bu nedenle, bulut güvenliği uygulamalarının etkin bir biçimde uygulanması ve sürekli olarak gözden geçirilmesi gerekmektedir. Hem kullanıcıların hem de hizmet sağlayıcıların, bu tür açıkların ne denli tehlikeli olduğunu anlaması ve buna göre önlemler alması hayati önem taşımaktadır.
