Over 400 IPs Actively Exploiting Multiple SSRF Vulnerabilities in the Wild
2025/03/12 gbhackers — 近頃、SSRF (Server-Side Request Forgery) の悪用が急増しており、その傾向が続いていることが、GreyNoise の調査により明らかになった。戦略的な SSRF 攻撃が増加し、少なくとも 400 の固有 IP が、複数の SSRF 関連の CVE を同時に悪用していると、GreyNoise は指摘している。この攻撃パターンが示唆するのは、典型的なボットネットからのトラフィックではなく、情報収集のための自動化された事前侵入などによる、組織的な悪用の可能性である。
SSRF 脆弱性の悪用の傾向と影響
SSRF を悪用する攻撃者は、クラウドサービスの内部メタデータ API にアクセスして、内部ネットワークをマッピングしていく。そして、脆弱なサービスを見つけ出し、クラウドの認証情報の窃取へとつなげていく。
近ごろ急増している、SSRF 脆弱性の悪用が想起させるのは、過去に発生したデータ漏えいのインシデント。GreyNoise が類似例として挙げている、2019年に発生した Capital One の侵害では、SSRF の脆弱性が悪用され、1億件以上の記録が流出した。
今回の調査で確認されたのは、広く使用されているプラットフォームの脆弱性の悪用である。具体的に言うと、Zimbra Collaboration Suite/GitLab CE/EE、VMware Workspace ONE UEM/vCenter などに存在する脆弱性が標的にされた。
特筆すべきは、多くの同一 IP が、それらの複数の SSRF 脆弱性を標的にしており、単一の脆弱性に依存するのではなく、戦略的なアプローチを取っている点である。
また、今回の SSRF 攻撃の急増において、標的となった主な国は、米国/ドイツ/シンガポール/インド/日本/イスラエルなどである。特に、イスラエルに関しては、2025年1月の時点で、すでに悪意の活動が観測されていた。
組織側への推奨事項
GreyNoise が組織に対して推奨しているのは、速やかな対応により、これらの脅威を軽減することだ。それぞれのユーザー組織は、以下の予防措置を講じることで、SSRF 攻撃のリスクを大幅に軽減できる:
- 標的となった CVE に対して、パッチの適用とシステムの強化を行う。
- 内部アプリケーションからの外部アクセスを、必要最小限のエンドポイントに制限し、被害の拡大を防ぐ。
- 想定外のアウトバウンド・リクエストに対するアラートを設定し、SSRF 攻撃の試みを早期に検出する。
このブログでも度々登場する SSRF 脆弱性ですが、MITRE の CWE Top 25 では、2023年・2024年ともに 19位にランクインしており、依然として深刻な脅威とされているようです。本文中には記載されていませんが、最近の攻撃での悪用が確認されている製品には、DotNetNuke/ColumbiaSoft DocumentLocator/Ivanti Connect Secure/BerriAI LiteLLM/OpenBMCS も含まれています。GreyNoise のレポートに CVE が明示されていますので、ご利用のチームは、ご確認下さい。よろしければ、SSRF で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.