威胁情报公司GreyNoise发出警告称,近期针对多个平台的服务器端请求伪造(SSRF)漏洞利用活动出现了“协同激增”现象。
该公司表示:“至少400个IP地址被发现同时利用多个SSRF漏洞,攻击尝试之间表现出显著的重叠。”此外,这些活动在2025年3月9日被首次观察到。
攻击目标国家分布
此次SSRF漏洞利用尝试的主要目标国家包括美国、德国、新加坡、印度、立陶宛和日本。值得注意的是,以色列的漏洞利用活动在2025年3月11日出现激增。
被利用的SSRF漏洞列表
以下是被利用的SSRF漏洞列表:
- CVE-2017-0929(CVSS评分:7.5)——DotNetNuke
- CVE-2020-7796(CVSS评分:9.8)——Zimbra协作套件
- CVE-2021-21973(CVSS评分:5.3)——VMware vCenter
- CVE-2021-22054(CVSS评分:7.5)——VMware Workspace ONE UEM
- CVE-2021-22175(CVSS评分:9.8)——GitLab CE/EE
- CVE-2021-22214(CVSS评分:8.6)——GitLab CE/EE
- CVE-2021-39935(CVSS评分:7.5)——GitLab CE/EE
- CVE-2023-5830(CVSS评分:9.8)——ColumbiaSoft DocumentLocator
- CVE-2024-6587(CVSS评分:7.5)——BerriAI LiteLLM
- CVE-2024-21893(CVSS评分:8.2)——Ivanti Connect Secure
- OpenBMCS 2.4认证SSRF尝试(无CVE编号)
- Zimbra协作套件SSRF尝试(无CVE编号)
攻击模式及防御建议
GreyNoise指出,许多相同的IP地址同时针对多个SSRF漏洞发起攻击,而非专注于某一个特定弱点。这种活动模式表明攻击者采用了结构化的利用方式、自动化工具或预入侵情报收集手段。
鉴于当前活跃的漏洞利用尝试,用户应及时应用最新的补丁程序,限制对外连接的必要端点,并监控可疑的外发请求。
GreyNoise提醒道:“许多现代云服务依赖于内部元数据API,如果SSRF漏洞被利用,攻击者可以访问这些API。SSRF漏洞可用于映射内部网络、定位易受攻击的服务以及窃取云凭据。”
