Hơn 400 Địa Chỉ IP Khai Thác Nhiều Lỗ Hổng SSRF Trong Cuộc Tấn Công Mạng Phối Hợp

GreyNoise cảnh báo về một “làn sóng phối hợp” trong việc khai thác các lỗ hổng Server-Side Request Forgery (SSRF) trên nhiều nền tảng khác nhau. Công ty cho biết: “Ít nhất 400 địa chỉ IP đã được phát hiện đang tích cực khai thác đồng thời nhiều CVE SSRF, với sự trùng lặp đáng…

IT-PRO

GreyNoise cảnh báo về một “làn sóng phối hợp” trong việc khai thác các lỗ hổng Server-Side Request Forgery (SSRF) trên nhiều nền tảng khác nhau.

Công ty cho biết: “Ít nhất 400 địa chỉ IP đã được phát hiện đang tích cực khai thác đồng thời nhiều CVE SSRF, với sự trùng lặp đáng chú ý giữa các nỗ lực tấn công”. Họ nói thêm rằng đã quan sát hoạt động này vào ngày 9 tháng 3 năm 2025.

Các quốc gia đã trở thành mục tiêu của các nỗ lực khai thác SSRF bao gồm Hoa Kỳ, Đức, Singapore, Ấn Độ, Litva và Nhật Bản. Một quốc gia đáng chú ý khác là Israel, nơi đã chứng kiến sự gia tăng các cuộc tấn công vào ngày 11 tháng 3 năm 2025.

Danh sách các lỗ hổng SSRF đang bị khai thác được liệt kê dưới đây

•

CVE-2017-0929 (Điểm CVSS: 7.5) – DotNetNuke

•

CVE-2020-7796 (Điểm CVSS: 9.8) – Zimbra Collaboration Suite

•

CVE-2021-21973 (Điểm CVSS: 5.3) – VMware vCenter

•

CVE-2021-22054 (Điểm CVSS: 7.5) – VMware Workspace ONE UEM

•

CVE-2021-22175 (Điểm CVSS: 9.8) – GitLab CE/EE

•

CVE-2021-22214 (Điểm CVSS: 8.6) – GitLab CE/EE

•

CVE-2021-39935 (Điểm CVSS: 7.5) – GitLab CE/EE

•

CVE-2023-5830 (Điểm CVSS: 9.8) – ColumbiaSoft DocumentLocator

•

CVE-2024-6587 (Điểm CVSS: 7.5) – BerriAI LiteLLM

•

CVE-2024-21893 (Điểm CVSS: 8.2) – Ivanti Connect Secure

•

Nỗ lực SSRF đã được xác thực OpenBMCS 2.4 (Không có CVE)

•

Nỗ lực SSRF Zimbra Collaboration Suite (Không có CVE)

GreyNoise cho biết nhiều địa chỉ IP tương tự đang nhắm mục tiêu đồng thời vào nhiều lỗ hổng SSRF thay vì tập trung vào một điểm yếu cụ thể. Họ lưu ý rằng mô hình hoạt động này cho thấy sự khai thác có cấu trúc, tự động hóa hoặc thu thập thông tin tình báo trước khi xâm nhập.

Trước các nỗ lực khai thác đang diễn ra, điều quan trọng là người dùng phải áp dụng các bản vá mới nhất, giới hạn các kết nối исходящие đến các điểm cuối cần thiết và theo dõi các yêu cầu исходящие đáng ngờ.

GreyNoise cho biết: “Nhiều dịch vụ đám mây hiện đại dựa vào API siêu dữ liệu nội bộ, mà SSRF có thể truy cập nếu bị khai thác”. “SSRF có thể được sử dụng để lập bản đồ các mạng nội bộ, xác định các dịch vụ dễ bị tấn công và đánh cắp thông tin đăng nhập đám mây”

Security365