超 400 个 IP 协同攻击多个 SSRF 漏洞

HackerNews 编译，转载请注明出处：

威胁情报公司 GreyNoise 警告称，针对服务器端请求伪造（SSRF）漏洞的攻击正在多个平台上呈现“协同激增”态势。

“至少有400个IP地址正在同时利用多个SSRF相关的CVE漏洞，且攻击行为之间存在显著重叠。”GreyNoise 表示，该公司在2025年3月9日观察到这一活动。

当前，遭受SSRF漏洞攻击的国家包括美国、德国、新加坡、印度、立陶宛和日本。此外，以色列在2025年3月11日经历了一波显著增长。

以下是被攻击者利用的SSRF漏洞列表：

- CVE-2017-0929（CVSS评分：7.5）- DotNetNuke  

- CVE-2020-7796（CVSS评分：9.8）- Zimbra Collaboration Suite  

- CVE-2021-21973（CVSS评分：5.3）- VMware vCenter  

- CVE-2021-22054（CVSS评分：7.5）- VMware Workspace ONE UEM  

- CVE-2021-22175（CVSS评分：9.8）- GitLab CE/EE  

- CVE-2021-22214（CVSS评分：8.6）- GitLab CE/EE  

- CVE-2021-39935（CVSS评分：7.5）- GitLab CE/EE  

- CVE-2023-5830（CVSS评分：9.8）- ColumbiaSoft DocumentLocator  

- CVE-2024-6587（CVSS评分：7.5）- BerriAI LiteLLM  

- CVE-2024-21893（CVSS评分：8.2）- Ivanti Connect Secure  

- OpenBMCS 2.4 认证后 SSRF 攻击（无 CVE 编号）  

- Zimbra Collaboration Suite SSRF 攻击（无 CVE 编号）  

GreyNoise 指出，许多相同的IP地址正在同时针对多个SSRF漏洞，而非集中攻击单一漏洞。这种攻击模式表明，攻击者正在实施结构化的漏洞利用，可能涉及自动化工具或事先的情报收集。

鉴于当前的活跃攻击态势，GreyNoise 建议用户立即安装最新补丁、限制出站连接至必要端点，并密切监测异常的出站请求。

“许多现代云服务依赖内部元数据 API，而一旦SSRF漏洞被利用，攻击者就能访问这些API。”GreyNoise 解释道，“SSRF 可用于绘制内部网络拓扑、定位易受攻击的服务，并窃取云凭据。”

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文