(https://i.imgur.com/k67Jvbq.png)
La firma de inteligencia de amenazas GreyNoise ha detectado un incremento coordinado en la explotación de vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) en diversas plataformas. Según la compañía, al menos 400 direcciones IP han sido identificadas realizando ataques simultáneamente contra múltiples CVE de SSRF, lo que sugiere una explotación automatizada y estructurada.
Detalles del ataqueGreyNoise informó que estos intentos de explotación fueron observados el 9 de marzo de 2025, con un aumento significativo en Israel el 11 de marzo de 2025. Otros países afectados incluyen Estados Unidos, Alemania, Singapur, India, Lituania y Japón.
La empresa advierte que las mismas direcciones IP están atacando varias vulnerabilidades a la vez, en lugar de enfocarse en una sola, lo que sugiere un proceso automatizado de recopilación de inteligencia previo al compromiso.
Lista de vulnerabilidades SSRF activamente explotadasA continuación, se detallan las principales vulnerabilidades SSRF que están siendo aprovechadas por los atacantes:
- CVE-2017-0929 (CVSS: 7.5) - DotNetNuke
- CVE-2020-7796 (CVSS: 9.8 ) - Zimbra Collaboration Suite
- CVE-2021-21973 (CVSS: 5.3) - VMware vCenter
- CVE-2021-22054 (CVSS: 7.5) - VMware Workspace ONE UEM
- CVE-2021-22175 (CVSS: 9.8 ) - GitLab CE/EE
- CVE-2021-22214 (CVSS: 8.6) - GitLab CE/EE
- CVE-2021-39935 (CVSS: 7.5) - GitLab CE/EE
- CVE-2023-5830 (CVSS: 9.8 ) - ColumbiaSoft DocumentLocator
- CVE-2024-6587 (CVSS: 7.5) - BerriAI LiteLLM
- CVE-2024-21893 (CVSS: 8.2) - Ivanti Connect Secure
- Intento de SSRF autenticado en OpenBMCS 2.4 (sin CVE asignado)
- Intento de SSRF en Zimbra Collaboration Suite (sin CVE asignado)
Impacto y recomendaciones de seguridadLos ataques SSRF pueden representar un riesgo grave para los servicios en la nube, ya que permiten a los atacantes:
- Acceder a APIs de metadatos internas, si no están debidamente protegidas.
- Mapear redes internas y localizar servicios vulnerables.
- Robar credenciales en la nube mediante el acceso no autorizado a configuraciones sensibles.
Para mitigar estos riesgos, GreyNoise recomienda a los administradores de TI y equipos de ciberseguridad:
- Aplicar los parches de seguridad más recientes para todas las vulnerabilidades mencionadas.
- Restringir las conexiones salientes únicamente a los puntos de conexión necesarios.
- Supervisar las solicitudes salientes sospechosas para detectar actividad maliciosa.
En conclusión, el aumento de estos ataques SSRF refuerza la importancia de mantener los sistemas actualizados y aplicar estrategias de seguridad proactivas. Dado el nivel de automatización observado, se recomienda a las organizaciones implementar controles estrictos de acceso y reforzar la monitorización en tiempo real.
Fuente: https://thehackernews.com/