Instagram Facebook Linkedin Whatsapp

Ataque cibernético coordenado explora mais de 400 IPs para vulnerabilidades SSRF

A empresa de inteligência de ameaças GreyNoise detectou um aumento significativo e coordenado na exploração de falhas Server-Side Request Forgery (SSRF) em diversas plataformas.

Segundo a GreyNoise, pelo menos 400 endereços IP foram identificados explorando simultaneamente várias vulnerabilidades SSRF conhecidas e catalogadas como CVEs. Além disso, a empresa observou uma grande sobreposição entre os ataques, o que indica que os mesmos agentes maliciosos podem estar envolvidos em múltiplas tentativas de exploração. Essa atividade foi identificada em 9 de março de 2025, com um pico de tentativas registrado em Israel no dia 11 de março de 2025.

Os ataques estão afetando diversos países, com destaque para Estados Unidos, Alemanha, Cingapura, Índia, Lituânia e Japão.

Lista de vulnerabilidades SSRF exploradas

Os invasores estão mirando falhas conhecidas em diferentes tecnologias e plataformas, incluindo:

  • CVE-2017-0929 (CVSS 7.5) – DotNetNuke
  • CVE-2020-7796 (CVSS 9.8) – Zimbra Collaboration Suite
  • CVE-2021-21973 (CVSS 5.3) – VMware vCenter
  • CVE-2021-22054 (CVSS 7.5) – VMware Workspace ONE UEM
  • CVE-2021-22175 (CVSS 9.8) – GitLab CE/EE
  • CVE-2021-22214 (CVSS 8.6) – GitLab CE/EE
  • CVE-2021-39935 (CVSS 7.5) – GitLab CE/EE
  • CVE-2023-5830 (CVSS 9.8) – ColumbiaSoft DocumentLocator
  • CVE-2024-6587 (CVSS 7.5) – BerriAI LiteLLM
  • CVE-2024-21893 (CVSS 8.2) – Ivanti Connect Secure
  • OpenBMCS 2.4 – Tentativa de SSRF autenticado (sem CVE atribuído)
  • Zimbra Collaboration Suite – Tentativa de SSRF (sem CVE atribuído)

Ataques estruturados e automatizados

A GreyNoise observou que os mesmos endereços IP estão explorando múltiplas falhas SSRF ao mesmo tempo, em vez de se concentrarem em uma única vulnerabilidade. Esse comportamento sugere que os ataques são automatizados e altamente estruturados, provavelmente operados por agentes maliciosos organizados. Além disso, essa estratégia pode ser parte de uma fase de reconhecimento, onde os atacantes buscam mapear sistemas vulneráveis e coletar informações antes de tentativas de exploração mais avançadas.

Diante dessa atividade intensa de exploração, a GreyNoise recomenda que as organizações adotem medidas de proteção urgentes, incluindo:

  1. Aplicação imediata das atualizações de segurança para corrigir as falhas SSRF conhecidas.
  2. Restrição de conexões de saída, limitando o acesso a endpoints essenciais para minimizar a exposição a ataques.
  3. Monitoramento rigoroso de requisições suspeitas, analisando tráfego incomum que possa indicar tentativas de exploração.

Risco para serviços em nuvem

A GreyNoise ressaltou que muitos serviços modernos em nuvem utilizam APIs de metadados internas, que podem ser exploradas por meio de ataques SSRF. Essa técnica permite que hackers mapeiem redes internas, descubram serviços vulneráveis e até mesmo roubem credenciais de acesso a ambientes em nuvem, comprometendo seriamente a segurança das organizações.

Diante desse cenário, é fundamental que as empresas reforcem suas defesas, apliquem patches de segurança e adotem estratégias de monitoramento contínuo para evitar acessos indevidos e possíveis violações de dados.

BLOG

Instagram Facebook Linkedin Whatsapp
TANGARÁ DA SERRA
  • Avenida Ismael José do Nascimento, 1822, W Sala 02, Tangará da Serra, MT | CEP: 78300-000
Campo Novo dos Parecis
  • Rua Porto Velho, 106 NE, Sala 02 - Campo Novo dos Parecis, MT | CEP 78360-000

© 2025 Todos os direitos reservados.