威脅情報公司GreyNoise發出警告稱，近期針對多個平臺的服務器端請求偽造（SSRF）漏洞利用活動出現了“協同激增”現象。

該公司表示：“至少400個IP地址被發現同時利用多個SSRF漏洞，攻擊嘗試之間表現出顯著的重疊。”此外，這些活動在2025年3月9日被首次觀察到。

攻擊目標國家分布

此次SSRF漏洞利用嘗試的主要目標國家包括美國、德國、新加坡、印度、立陶宛和日本。值得注意的是，以色列的漏洞利用活動在2025年3月11日出現激增。

被利用的SSRF漏洞列表

以下是被利用的SSRF漏洞列表：

• CVE-2017-0929（CVSS評分：7.5）——DotNetNuke
• CVE-2020-7796（CVSS評分：9.8）——Zimbra協作套件
• CVE-2021-21973（CVSS評分：5.3）——VMware vCenter
• CVE-2021-22054（CVSS評分：7.5）——VMware Workspace ONE UEM
• CVE-2021-22175（CVSS評分：9.8）——GitLab CE/EE
• CVE-2021-22214（CVSS評分：8.6）——GitLab CE/EE
• CVE-2021-39935（CVSS評分：7.5）——GitLab CE/EE
• CVE-2023-5830（CVSS評分：9.8）——ColumbiaSoft DocumentLocator
• CVE-2024-6587（CVSS評分：7.5）——BerriAI LiteLLM
• CVE-2024-21893（CVSS評分：8.2）——Ivanti Connect Secure
• OpenBMCS 2.4認證SSRF嘗試（無CVE編號）
• Zimbra協作套件SSRF嘗試（無CVE編號）

攻擊模式及防御建議

GreyNoise指出，許多相同的IP地址同時針對多個SSRF漏洞發起攻擊，而非專注于某一個特定弱點。這種活動模式表明攻擊者采用了結構化的利用方式、自動化工具或預入侵情報收集手段。

鑒于當前活躍的漏洞利用嘗試，用戶應及時應用最新的補丁程序，限制對外連接的必要端點，并監控可疑的外發請求。

GreyNoise提醒道：“許多現代云服務依賴于內部元數據API，如果SSRF漏洞被利用，攻擊者可以訪問這些API。SSRF漏洞可用于映射內部網絡、定位易受攻擊的服務以及竊取云憑據。”