威胁情报公司GreyNoise发出警告称,近期针对多个平台的服务器端请求伪造(SSRF)漏洞利用活动出现了“协同激增”现象。
该公司表示:“至少400个IP地址被发现同时利用多个SSRF漏洞,攻击尝试之间表现出显著的重叠。”此外,这些活动在2025年3月9日被首次观察到。
攻击目标国家分布
此次SSRF漏洞利用尝试的主要目标国家包括美国、德国、新加坡、印度、立陶宛和日本。值得注意的是,以色列的漏洞利用活动在2025年3月11日出现激增。
被利用的SSRF漏洞列表
以下是被利用的SSRF漏洞列表:
- CVE-2017-0929(CVSS评分:7.5)——DotNetNuke
- CVE-2020-7796(CVSS评分:9.8)——Zimbra协作套件
- CVE-2021-21973(CVSS评分:5.3)——VMware vCenter
- CVE-2021-22054(CVSS评分:7.5)——VMware Workspace ONE UEM
- CVE-2021-22175(CVSS评分:9.8)——GitLab CE/EE
- CVE-2021-22214(CVSS评分:8.6)——GitLab CE/EE
- CVE-2021-39935(CVSS评分:7.5)——GitLab CE/EE
- CVE-2023-5830(CVSS评分:9.8)——ColumbiaSoft DocumentLocator
- CVE-2024-6587(CVSS评分:7.5)——BerriAI LiteLLM
- CVE-2024-21893(CVSS评分:8.2)——Ivanti Connect Secure
- OpenBMCS 2.4认证SSRF尝试(无CVE编号)
- Zimbra协作套件SSRF尝试(无CVE编号)
攻击模式及防御建议
GreyNoise指出,许多相同的IP地址同时针对多个SSRF漏洞发起攻击,而非专注于某一个特定弱点。这种活动模式表明攻击者采用了结构化的利用方式、自动化工具或预入侵情报收集手段。
鉴于当前活跃的漏洞利用尝试,用户应及时应用最新的补丁程序,限制对外连接的必要端点,并监控可疑的外发请求。
GreyNoise提醒道:“许多现代云服务依赖于内部元数据API,如果SSRF漏洞被利用,攻击者可以访问这些API。SSRF漏洞可用于映射内部网络、定位易受攻击的服务以及窃取云凭据。”
参考来源:
Over 400 IPs Exploiting Multiple SSRF Vulnerabilities in Coordinated Cyber Attack
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
