Großangriff auf SSRF-Schwachstellen
Das Cybersicherheitsunternehmen GreyNoise warnt vor einer koordinierten Angriffswelle, bei der bestimmte Schwachstellen in Webanwendungen – sogenannte Server-Side Request Forgery (SSRF)-Fehler – über verschiedene Plattformen hinweg ausgenutzt werden.
Über Server-Side Request Forgery (SSRF) kann ein Angreifer Server dazu bringen, Anfragen an interne oder externe Systeme zu senden. Dadurch kann er etwa interne Netzwerke ausspähen, sensible Daten abrufen und Folgeangriffe vorbereiten.
„Wir haben mindestens 400 IP-Adressen beobachtet, wie sie gleichzeitig mehrere bekannte SSRF-Sicherheitslücken ausnutzen. Zwischen den Angriffen gibt es deutliche Überschneidungen“, so GreyNoise. Die Aktivitäten wurden erstmals am 9. März 2025 festgestellt.
Zu den Hauptzielen der Angriffe gehören:
- Vereinigte Staaten
- Deutschland
- Singapur
- Indien
- Litauen
- Japan
- Israel (besonders betroffen am 11. März 2025)
Sicherheitslücken, die aktiv ausgenutzt werden
Folgende bekannte SSRF-Schwachstellen werden derzeit von den Angreifern ausgenutzt:
- CVE-2017-0929 – DotNetNuke (mittlere Gefahr)
- CVE-2020-7796 – Zimbra Collaboration Suite (sehr hohe Gefahr)
- CVE-2021-21973 – VMware vCenter (geringe Gefahr)
- CVE-2021-22054 – VMware Workspace ONE UEM (mittlere Gefahr)
- CVE-2021-22175 – GitLab CE/EE (sehr hohe Gefahr)
- CVE-2021-22214 – GitLab CE/EE (hohe Gefahr)
- CVE-2021-39935 – GitLab CE/EE (mittlere Gefahr)
- CVE-2023-5830 – ColumbiaSoft DocumentLocator (sehr hohe Gefahr)
- CVE-2024-6587 – BerriAI LiteLLM (mittlere Gefahr)
- CVE-2024-21893 – Ivanti Connect Secure (hohe Gefahr)
- OpenBMCS 2.4 Authenticated SSRF Attempt – (keine offizielle CVE-Nummer)
- Zimbra Collaboration Suite SSRF Attempt – (keine offizielle CVE-Nummer)
Automatisierte und koordinierte Angriffe
Laut GreyNoise greifen viele der gleichen IP-Adressen mehrere Schwachstellen gleichzeitig an. Das deutet darauf hin, dass die Attacken nicht zufällig erfolgen, sondern automatisiert und strategisch geplant sind. Es könnte sich um systematische Angriffe handeln, um gezielt Schwachstellen zu identifizieren und auszunutzen.
Um sich gegen diese Bedrohung zu schützen, empfiehlt GreyNoise:
- Sicherheitsupdates sofort installieren, um bekannte Schwachstellen zu schließen.
- Ausgehende Verbindungen auf das Nötigste beschränken, um unbefugten Zugriff zu verhindern.
- Verdächtige Netzwerkaktivitäten überwachen, insbesondere ungewöhnliche Anfragen an interne Systeme.
„Moderne Cloud-Dienste nutzen oft interne Metadaten-APIs, auf die Angreifer durch SSRF-Angriffe zugreifen können“, erklärt GreyNoise. Dadurch lassen sich interne Netzwerke ausspähen, Schwachstellen finden und Cloud-Zugangsdaten stehlen.
GreyNoise hat Hinweise darauf gefunden, dass unbekannte Hacker Grafana als Einstiegspunkt nutzen, um sich Zugang zu Netzwerken zu verschaffen. Vor dem großen SSRF-Angriff am 9. März wurden Pfad-Traversal-Angriffe auf Grafana-Server festgestellt. Das deutet darauf hin, dass die Angreifer erst gezielt nach hochwertigen Zielen suchen, bevor sie ihre eigentlichen Angriffe starten.