Mais de 400 IPs exploram múltiplas vulnerabilidades SSRF em ataque cibernético coordenado

A empresa de inteligência de ameaças GreyNoise está alertando sobre um "aumento coordenado" na exploração de vulnerabilidades Server-Side Request Forgery (SSRF) em diversas plataformas.

"Pelo menos 400 endereços IP foram identificados explorando simultaneamente múltiplas falhas SSRF listadas como CVEs, com uma sobreposição significativa entre os ataques," afirmou a empresa, observando que a atividade foi detectada em 9 de março de 2025.

Os países mais visados nesses ataques incluem Estados Unidos, Alemanha, Cingapura, Índia, Lituânia e Japão, com destaque para Israel, que registrou um pico de tentativas de exploração em 11 de março de 2025.

A lista das vulnerabilidades SSRF exploradas inclui:

• CVE-2017-0929 (CVSS 7.5) - DotNetNuke

• CVE-2020-7796 (CVSS 9.8) - Zimbra Collaboration Suite

• CVE-2021-21973 (CVSS 5.3) - VMware vCenter

• CVE-2021-22054 (CVSS 7.5) - VMware Workspace ONE UEM

• CVE-2021-22175 (CVSS 9.8) - GitLab CE/EE

• CVE-2021-22214 (CVSS 8.6) - GitLab CE/EE

• CVE-2021-39935 (CVSS 7.5) - GitLab CE/EE

• CVE-2023-5830 (CVSS 9.8) - ColumbiaSoft DocumentLocator

• CVE-2024-6587 (CVSS 7.5) - BerriAI LiteLLM

• CVE-2024-21893 (CVSS 8.2) - Ivanti Connect Secure

• OpenBMCS 2.4 - Tentativa de SSRF autenticado (sem CVE)

• Zimbra Collaboration Suite - Tentativa de SSRF (sem CVE)

A GreyNoise destacou que muitos dos mesmos endereços IP estão atacando diversas falhas SSRF ao mesmo tempo, em vez de explorar uma vulnerabilidade específica. Esse padrão sugere o uso de exploração automatizada, ataques estruturados ou coleta de inteligência pré-comprometimento.

Diante dessas tentativas de exploração ativa, é essencial que os usuários apliquem as atualizações de segurança mais recentes, limitem conexões de saída apenas para endpoints necessários e monitorem requisições suspeitas.

"Muitos serviços modernos em nuvem dependem de APIs de metadados internas, que podem ser acessadas por meio de ataques SSRF," explicou a GreyNoise. "Essa técnica pode ser utilizada para mapear redes internas, localizar serviços vulneráveis e roubar credenciais de acesso à nuvem."

Via - THN