威脅情報公司GreyNoise發(fā)出警告稱，近期針對多個平臺的服務(wù)器端請求偽造（SSRF）漏洞利用活動出現(xiàn)了“協(xié)同激增”現(xiàn)象。

該公司表示：“至少400個IP地址被發(fā)現(xiàn)同時利用多個SSRF漏洞，攻擊嘗試之間表現(xiàn)出顯著的重疊?！贝送?，這些活動在2025年3月9日被首次觀察到。

攻擊目標(biāo)國家分布

此次SSRF漏洞利用嘗試的主要目標(biāo)國家包括美國、德國、新加坡、印度、立陶宛和日本。值得注意的是，以色列的漏洞利用活動在2025年3月11日出現(xiàn)激增。

被利用的SSRF漏洞列表

以下是被利用的SSRF漏洞列表：

• CVE-2017-0929（CVSS評分：7.5）——DotNetNuke
• CVE-2020-7796（CVSS評分：9.8）——Zimbra協(xié)作套件
• CVE-2021-21973（CVSS評分：5.3）——VMware vCenter
• CVE-2021-22054（CVSS評分：7.5）——VMware Workspace ONE UEM
• CVE-2021-22175（CVSS評分：9.8）——GitLab CE/EE
• CVE-2021-22214（CVSS評分：8.6）——GitLab CE/EE
• CVE-2021-39935（CVSS評分：7.5）——GitLab CE/EE
• CVE-2023-5830（CVSS評分：9.8）——ColumbiaSoft DocumentLocator
• CVE-2024-6587（CVSS評分：7.5）——BerriAI LiteLLM
• CVE-2024-21893（CVSS評分：8.2）——Ivanti Connect Secure
• OpenBMCS 2.4認證SSRF嘗試（無CVE編號）
• Zimbra協(xié)作套件SSRF嘗試（無CVE編號）

攻擊模式及防御建議

GreyNoise指出，許多相同的IP地址同時針對多個SSRF漏洞發(fā)起攻擊，而非專注于某一個特定弱點。這種活動模式表明攻擊者采用了結(jié)構(gòu)化的利用方式、自動化工具或預(yù)入侵情報收集手段。

鑒于當(dāng)前活躍的漏洞利用嘗試，用戶應(yīng)及時應(yīng)用最新的補丁程序，限制對外連接的必要端點，并監(jiān)控可疑的外發(fā)請求。

GreyNoise提醒道：“許多現(xiàn)代云服務(wù)依賴于內(nèi)部元數(shù)據(jù)API，如果SSRF漏洞被利用，攻擊者可以訪問這些API。SSRF漏洞可用于映射內(nèi)部網(wǎng)絡(luò)、定位易受攻擊的服務(wù)以及竊取云憑據(jù)。”