何が起きたか
LLM可視性/ルーティングゲートウェイであるHeliconeのai-gatewayには、AWS Metadata Serviceディスパッチャコンポーネントの複数のSSRF脆弱性が含まれており、リモート攻撃者がextracted_path_and_query引数を操作して内部エンドポイントに到達できます。実装可能なエクスプロイトが発表されています。
なぜ重要か
HeliconeなどのAIゲートウェイは、LLMトラフィックの前の特権ネットワーク位置に位置し、多くの場合IAMロールが接続されたクラウドコンピュートと一緒にあります。クラウドメタデータサービスに対するSSRFは、インスタンスロール認証情報盗難への既知のパスであり、AI インフラストラクチャをホストするより広いクラウド環境へのピボットに使用される可能性があります。
攻撃経路
ai-gateway/src/dispatcher/service.rs(AWS Metadata Serviceコンポーネント)のbuild_target_url関数は、extracted_path_and_query引数を適切に検証できず、リモート攻撃者がリクエストルーティングを操作してAWSインスタンスメタデータサービスまたは他の内部/意図されていないエンドポイント(SSRF)に到達できます。
影響を受けるシステム
Helicone ai-gateway up to 0.2.0-beta.30
緩和策
開示時点で確認されたベンダーパッチはありません。ベンダーは早期開示に応答しませんでした。ai-gatewayホストからのアウトバウンドネットワークアクセスを制限し、ネットワークレイヤーでクラウドメタデータエンドポイント(169.254.169.254)へのアクセスを無効にする/フィルタリングすることを補賠制御として推奨します。