A empresa de inteligência de ameaças GreyNoise está alertando sobre um "aumento coordenado" na exploração de vulnerabilidades Server-Side Request Forgery (SSRF) em diversas plataformas.
"Pelo menos 400 endereços IP foram identificados explorando simultaneamente múltiplas falhas SSRF listadas como CVEs, com uma sobreposição significativa entre os ataques," afirmou a empresa, observando que a atividade foi detectada em 9 de março de 2025.
Os países mais visados nesses ataques incluem Estados Unidos, Alemanha, Cingapura, Índia, Lituânia e Japão, com destaque para Israel, que registrou um pico de tentativas de exploração em 11 de março de 2025.
A lista das vulnerabilidades SSRF exploradas inclui:
CVE-2017-0929 (CVSS 7.5) - DotNetNuke
CVE-2020-7796 (CVSS 9.8) - Zimbra Collaboration Suite
CVE-2021-21973 (CVSS 5.3) - VMware vCenter
CVE-2021-22054 (CVSS 7.5) - VMware Workspace ONE UEM
CVE-2021-22175 (CVSS 9.8) - GitLab CE/EE
CVE-2021-22214 (CVSS 8.6) - GitLab CE/EE
CVE-2021-39935 (CVSS 7.5) - GitLab CE/EE
CVE-2023-5830 (CVSS 9.8) - ColumbiaSoft DocumentLocator
CVE-2024-6587 (CVSS 7.5) - BerriAI LiteLLM
CVE-2024-21893 (CVSS 8.2) - Ivanti Connect Secure
OpenBMCS 2.4 - Tentativa de SSRF autenticado (sem CVE)
Zimbra Collaboration Suite - Tentativa de SSRF (sem CVE)
A GreyNoise destacou que muitos dos mesmos endereços IP estão atacando diversas falhas SSRF ao mesmo tempo, em vez de explorar uma vulnerabilidade específica. Esse padrão sugere o uso de exploração automatizada, ataques estruturados ou coleta de inteligência pré-comprometimento.
Diante dessas tentativas de exploração ativa, é essencial que os usuários apliquem as atualizações de segurança mais recentes, limitem conexões de saída apenas para endpoints necessários e monitorem requisições suspeitas.
"Muitos serviços modernos em nuvem dependem de APIs de metadados internas, que podem ser acessadas por meio de ataques SSRF," explicou a GreyNoise. "Essa técnica pode ser utilizada para mapear redes internas, localizar serviços vulneráveis e roubar credenciais de acesso à nuvem."
Via - THN
Comments