URL Scanner

Le Server-Side Request Forgery (SSRF) est une vulnérabilité de sécurité web qui permet aux attaquants de faire en sorte que le serveur effectue des requêtes HTTP vers des destinations arbitraires, y compris des ressources réseau internes normalement inaccessibles de l'extérieur. Le SSRF se classe régulièrement parmi les vulnérabilités critiques du Top 10 de l'OWASP et a été responsable de certaines des violations de sécurité cloud les plus significatives de ces dernières années, particulièrement dans les environnements AWS où il peut exposer des identifiants IAM et des métadonnées.

Comment fonctionnent les attaques SSRF

Les vulnérabilités SSRF surviennent lorsque les applications web récupèrent des ressources depuis des URL fournies par les utilisateurs sans validation adéquate. Les fonctionnalités courantes qui introduisent un risque SSRF incluent les générateurs d'aperçu d'URL, les processeurs de webhooks, les importateurs de fichiers, les générateurs de PDF et - comme dans ce cas - les services de scan d'URL. Quand un attaquant soumet une URL pointant vers http://127.0.0.1, http://169.254.169.254 (l'endpoint de métadonnées AWS), ou des adresses réseau internes, le serveur effectue consciencieusement la requête et peut retourner la réponse à l'attaquant.

Dans les environnements cloud, le SSRF est particulièrement dangereux. Les instances AWS EC2 exposent un Instance Metadata Service (IMDS) à l'adresse 169.254.169.254 qui fournit des identifiants IAM temporaires, la configuration de l'instance, les scripts de données utilisateur et d'autres informations sensibles. Une vulnérabilité SSRF sur une instance EC2 peut permettre aux attaquants de voler des identifiants IAM et de les utiliser pour accéder aux buckets S3, aux bases de données et à d'autres services AWS - compromettant potentiellement toute une infrastructure cloud.

Techniques de contournement SSRF

Même lorsque les applications implémentent une validation d'URL, les attaquants disposent de nombreuses techniques de contournement. Le DNS rebinding peut tromper les vérifications de liste blanche en résolvant vers une IP interne après la validation. Les incohérences d'analyse d'URL entre le validateur et le client HTTP peuvent être exploitées en utilisant des techniques comme l'encodage d'URL, l'adressage IPv6, la notation IP décimale et les chaînes de redirection. Des protocoles alternatifs comme file://, gopher:// et dict:// peuvent également être disponibles selon la bibliothèque HTTP utilisée.

Se défendre contre le SSRF

Une prévention efficace du SSRF nécessite une approche de défense en profondeur. Les applications doivent valider et assainir les URL côté serveur, utiliser des listes blanches de domaines et de plages d'IP autorisés, et bloquer les requêtes vers les plages d'IP privées et les endpoints de métadonnées cloud. AWS propose IMDSv2, qui nécessite un token de session obtenu par une requête PUT, rendant l'exploitation SSRF significativement plus difficile. Les contrôles au niveau réseau comme les groupes de sécurité VPC et les règles de pare-feu fournissent une protection supplémentaire en limitant les ressources internes que le serveur web peut atteindre.