As tentativas de encontrar servidores proxy estão entre as verificações mais comuns que nossos honeypots detectam. Na maioria das vezes, o invasor tenta usar um cabeçalho de host ou incluir o nome do host na URL para acionar o servidor proxy que encaminha a solicitação. Em alguns casos, são usados prefixos de URL comuns como “/proxy/”. Neste fim de semana, notei um padrão ligeiramente diferente em nossos registros:
| Visto pela primeira vez | Visto pela última vez | Contar | Caminho |
|---|---|---|---|
| 15/03/2026 | 16/03/2026 | 2 | /proxy/http:/(::ffff:a9fe:a9fe)/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/169.254.169.254/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/http:/169.254.169.254/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/absoluto/(0:0:0:0:0:ffff:a9fe:a9fe)/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/absoluto/(::ffff:a9fe:a9fe)/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/absolute/169.254.169.254/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/(0:0:0:0:0:ffff:a9fe:a9fe)/latest/dynamic/instance-identity/document |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/(0:0:0:0:0:ffff:a9fe:a9fe)/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/(::ffff:a9fe:a9fe)/latest/dynamic/instance-identity/document |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/(::ffff:a9fe:a9fe)/latest/meta-data/iam/security-credentials/ |
| 15/03/2026 | 16/03/2026 | 2 | /proxy/169.254.169.254/latest/dynamic/instance-identity/document |
| 16/03/2026 | 16/03/2026 | 1 | /proxy/2852039166/latest/meta-data/iam/credenciais de segurança/ |
A intenção dessas solicitações é alcançar o serviço de metadados da nuvem, que normalmente escuta em 169.254.169.254, um endereço local de link não roteável. O diretório “security-credentials” deve listar entidades com acesso ao serviço e pode então levar a solicitações de material de chave usado para autenticação.
O invasor não usa apenas o endereço IPv4, mas tenta contornar alguns filtros usando o endereço IPv6 mapeado para IPv4. O prefixo ::ffff/96, seguido do endereço IPv4, é usado para expressar endereços IPv4 em IPv6. Observe que esses endereços não são roteáveis, mas, assim como 169.254.169.254, eles podem funcionar no próprio host. Além disso, o invasor usa o formato “menos aprovado”, especificando os primeiros bytes com 0:0:0:0. Finalmente, é usada a forma longa e inteira sem sinal do endereço IP.
O serviço de metadados é frequentemente explorado usando vulnerabilidades SSRF. No entanto, a “versão 2” mais moderna do serviço de metadados tenta impedir ataques SSRF simples, exigindo duas solicitações com métodos diferentes e cabeçalhos personalizados específicos. As vulnerabilidades SSRF são como um proxy aberto menos funcional. Nesse caso, o invasor assume um proxy completo e um ataque pode não ser evitado pela implementação mais moderna do serviço de metadados.
Os aplicativos da web modernos usam proxies de muitas formas diferentes. Por exemplo, você pode ter gateways de API, balanceadores de carga, firewalls de aplicativos da web ou até mesmo alguns proxies para contornar as restrições do CORS. Qualquer um desses casos é potencialmente vulnerável se estiver mal configurado. A lista de URLs acima pode ser um bom ponto de partida para testar a implementação do seu proxy.
—
Johannes B. Ullrich, Ph.D. , Reitor de Pesquisa, SANS.edu
Twitter|
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.