Το Server-Side Request Forgery (SSRF) είναι ένας τύπος ευπάθειας ασφαλείας όπου ένας επιτιθέμενος εκμεταλλεύεται μια εφαρμογή που εκτελείται στον server, με σκοπό να την κάνει να στείλει αιτήματα HTTP ή άλλου τύπου σε πόρους του εσωτερικού ή εξωτερικού δικτύου που κανονικά δεν θα έπρεπε να είναι προσβάσιμοι. Ουσιαστικά, ο επιτιθέμενος πείθει τον server να κάνει αιτήματα σε εσωτερικές IP διευθύνσεις, όπως το 127.0.0.1, σε cloud metadata υπηρεσίες όπως αυτή του AWS (169.254.169.254), σε άλλους servers του ίδιου οργανισμού, ή ακόμα και σε υπηρεσίες που δεν είναι προσβάσιμες από το εξωτερικό περιβάλλον.
Δείτε επίσης: Ενημέρωση ασφαλείας Jenkins διορθώνει ευπάθειες στα CI/CD Pipelines
Μέσω μιας τέτοιας ευπάθειας, μπορεί να προκληθεί αποκάλυψη εσωτερικών πληροφοριών, ανίχνευση του εσωτερικού δικτύου, πρόσβαση σε ευαίσθητα δεδομένα από cloud υπηρεσίες ή ακόμα και εκτέλεση εντολών όταν το SSRF συνδυάζεται με άλλες αδυναμίες. Ένα χαρακτηριστικό παράδειγμα είναι όταν μια εφαρμογή επιτρέπει στον χρήστη να υποβάλει ένα URL για λήψη μιας εικόνας. Αν δεν υπάρχει έλεγχος, ο επιτιθέμενος μπορεί να δώσει ως URL μια διεύθυνση εσωτερικού πόρου του συστήματος, όπως http://127.0.0.1/admin και ο server θα εκτελέσει το αίτημα, αποκαλύπτοντας πληροφορίες που διαφορετικά θα ήταν απρόσιτες.
Δείτε ακόμα: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Η προστασία από ευπάθειες SSRF απαιτεί πολλαπλά επίπεδα άμυνας. Καταρχάς, πρέπει να φιλτράρονται και να επικυρώνονται αυστηρά όλα τα δεδομένα εισόδου που σχετίζονται με URLs. Ιδανικά, επιτρέπονται μόνο προκαθορισμένοι (whitelisted) εξωτερικοί προορισμοί. Ο server δεν θα πρέπει να έχει δικαίωμα να κάνει εξωτερικά αιτήματα αν δεν είναι απολύτως απαραίτητο. Επίσης, σε επίπεδο δικτύου, είναι σημαντικό να εφαρμόζονται περιορισμοί μέσω firewall, ώστε ο server να μην μπορεί να επικοινωνεί με εσωτερικές IP διευθύνσεις ή metadata υπηρεσίες του cloud.
Δείτε επίσης: Η Ivanti προειδοποιεί για δύο ευπάθειες στο EPMM software
Παράλληλα, οι ρυθμίσεις IAM (Identity and Access Management) σε cloud περιβάλλοντα πρέπει να είναι περιορισμένες και να επιτρέπουν πρόσβαση σε metadata μόνο όπου είναι απαραίτητο. Είναι επίσης χρήσιμο να χρησιμοποιούνται βιβλιοθήκες που δεν ακολουθούν redirects ή περιλαμβάνουν ενσωματωμένες προστασίες έναντι SSRF. Τέλος, είναι σημαντικό να υπάρχουν κατάλληλα logs και μηχανισμοί παρακολούθησης για την ανίχνευση ύποπτης συμπεριφοράς.
