HackerNews 编译,转载请注明出处:
威胁情报公司 GreyNoise 警告称,针对服务器端请求伪造(SSRF)漏洞的攻击正在多个平台上呈现“协同激增”态势。
“至少有400个IP地址正在同时利用多个SSRF相关的CVE漏洞,且攻击行为之间存在显著重叠。”GreyNoise 表示,该公司在2025年3月9日观察到这一活动。
当前,遭受SSRF漏洞攻击的国家包括美国、德国、新加坡、印度、立陶宛和日本。此外,以色列在2025年3月11日经历了一波显著增长。
以下是被攻击者利用的SSRF漏洞列表:
– CVE-2017-0929(CVSS评分:7.5)- DotNetNuke
– CVE-2020-7796(CVSS评分:9.8)- Zimbra Collaboration Suite
– CVE-2021-21973(CVSS评分:5.3)- VMware vCenter
– CVE-2021-22054(CVSS评分:7.5)- VMware Workspace ONE UEM
– CVE-2021-22175(CVSS评分:9.8)- GitLab CE/EE
– CVE-2021-22214(CVSS评分:8.6)- GitLab CE/EE
– CVE-2021-39935(CVSS评分:7.5)- GitLab CE/EE
– CVE-2023-5830(CVSS评分:9.8)- ColumbiaSoft DocumentLocator
– CVE-2024-6587(CVSS评分:7.5)- BerriAI LiteLLM
– CVE-2024-21893(CVSS评分:8.2)- Ivanti Connect Secure
– OpenBMCS 2.4 认证后 SSRF 攻击(无 CVE 编号)
– Zimbra Collaboration Suite SSRF 攻击(无 CVE 编号)
GreyNoise 指出,许多相同的IP地址正在同时针对多个SSRF漏洞,而非集中攻击单一漏洞。这种攻击模式表明,攻击者正在实施结构化的漏洞利用,可能涉及自动化工具或事先的情报收集。
鉴于当前的活跃攻击态势,GreyNoise 建议用户立即安装最新补丁、限制出站连接至必要端点,并密切监测异常的出站请求。
“许多现代云服务依赖内部元数据 API,而一旦SSRF漏洞被利用,攻击者就能访问这些API。”GreyNoise 解释道,“SSRF 可用于绘制内部网络拓扑、定位易受攻击的服务,并窃取云凭据。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
