威脅情報(bào)公司GreyNoise發(fā)出警告稱，近期針對(duì)多個(gè)平臺(tái)的服務(wù)器端請(qǐng)求偽造（SSRF）漏洞利用活動(dòng)出現(xiàn)了“協(xié)同激增”現(xiàn)象。

該公司表示：“至少400個(gè)IP地址被發(fā)現(xiàn)同時(shí)利用多個(gè)SSRF漏洞，攻擊嘗試之間表現(xiàn)出顯著的重疊。”此外，這些活動(dòng)在2025年3月9日被首次觀察到。

攻擊目標(biāo)國(guó)家分布

此次SSRF漏洞利用嘗試的主要目標(biāo)國(guó)家包括美國(guó)、德國(guó)、新加坡、印度、立陶宛和日本。值得注意的是，以色列的漏洞利用活動(dòng)在2025年3月11日出現(xiàn)激增。

被利用的SSRF漏洞列表

以下是被利用的SSRF漏洞列表：

• CVE-2017-0929（CVSS評(píng)分：7.5）——DotNetNuke
• CVE-2020-7796（CVSS評(píng)分：9.8）——Zimbra協(xié)作套件
• CVE-2021-21973（CVSS評(píng)分：5.3）——VMware vCenter
• CVE-2021-22054（CVSS評(píng)分：7.5）——VMware Workspace ONE UEM
• CVE-2021-22175（CVSS評(píng)分：9.8）——GitLab CE/EE
• CVE-2021-22214（CVSS評(píng)分：8.6）——GitLab CE/EE
• CVE-2021-39935（CVSS評(píng)分：7.5）——GitLab CE/EE
• CVE-2023-5830（CVSS評(píng)分：9.8）——ColumbiaSoft DocumentLocator
• CVE-2024-6587（CVSS評(píng)分：7.5）——BerriAI LiteLLM
• CVE-2024-21893（CVSS評(píng)分：8.2）——Ivanti Connect Secure
• OpenBMCS 2.4認(rèn)證SSRF嘗試（無(wú)CVE編號(hào)）
• Zimbra協(xié)作套件SSRF嘗試（無(wú)CVE編號(hào)）

攻擊模式及防御建議

GreyNoise指出，許多相同的IP地址同時(shí)針對(duì)多個(gè)SSRF漏洞發(fā)起攻擊，而非專注于某一個(gè)特定弱點(diǎn)。這種活動(dòng)模式表明攻擊者采用了結(jié)構(gòu)化的利用方式、自動(dòng)化工具或預(yù)入侵情報(bào)收集手段。

鑒于當(dāng)前活躍的漏洞利用嘗試，用戶應(yīng)及時(shí)應(yīng)用最新的補(bǔ)丁程序，限制對(duì)外連接的必要端點(diǎn)，并監(jiān)控可疑的外發(fā)請(qǐng)求。

GreyNoise提醒道：“許多現(xiàn)代云服務(wù)依賴于內(nèi)部元數(shù)據(jù)API，如果SSRF漏洞被利用，攻擊者可以訪問(wèn)這些API。SSRF漏洞可用于映射內(nèi)部網(wǎng)絡(luò)、定位易受攻擊的服務(wù)以及竊取云憑據(jù)。”