Grafana Flaws Likely Targeted in Broad SSRF Exploitation Campaign
2025/03/13 SecurityWeek — 複数の人気プラットフォームにおける、SSRF (Server-Side Request Forgery) を狙う大規模な攻撃の前に、Grafana のパス・トラバーサル脆弱性が悪用されたと、脅威インテリジェンス企業 GreyNoise が報告している。2月の広範から3月の初旬にかけて急増した、SSRF の脆弱性を組織的に悪用するキャンペーンにおいて、Zimbra/GitLab/DotNetNuke/VMware/ColumbiaSoft/Ivanti/BerriAI/OpenBMCS 製品を標的とする 400 以上の IP が観測された。
GreyNoise が示唆するのは、攻撃を開始するために使用された IP の多くは、複数の SSRF 脆弱性を同時に狙っており、自動化が用いられ、侵入前の情報収集に重点が置かれている可能性である。
その大半の攻撃は、米国/ドイツ/インド/日本/シンガポールの組織を狙っているが、先週に GreyNoise が観測したデータによると、イスラエルとオランダにも重点が置かれているとのことだ。GreyNoise によると、2024年12月には、オーストラリア/フランス/台湾/香港/カタール/韓国/スロバキアに対する、SSRF の悪用が急増していたという。
SSRF の脆弱性を悪用する攻撃者は、内部ネットワークをマッピングし、脆弱なサービスを特定し、クラウドサービスの認証情報の窃取へと到達する。2019年の Capital Oneの侵害では、1億人以上が影響を受けたが、その際には SSRF の脆弱性が大きな役割を果たしたと、GreyNoise は指摘している。
3月12日 (水) に GreyNoise は、「協調的な SSRF 攻撃の急増に先行して、Grafana に対するパス・トラバーサルの試行を観察した。インタラクティブな分析と視覚化のための、OSS プラットフォームである Grafana を偵察に悪用する攻撃者には、被害者の環境内で貴重なターゲットを特定し、さらなる悪用を試行する可能性がある」と警告している。
GreyNoise による以前の調査では、Grafana のパス・トラバーサルの脆弱性を悪用することで、攻撃者によるコンフィグ・ファイルや内部ネットワーク情報へのアクセスが可能になったという。ただし、この2つのイベントの間に直接的な関係は見つかっていないとされる。
GreyNoise は、「直接的な原因は不明だが、このタイミングが示唆するのは多段階の攻撃戦略であり、露出しているインフラをマッピングしてから、攻撃を拡大していくという流れである。この攻撃パターンは、当初に報告されたものと比べて、組織化された活動の可能性を含んでいる」と指摘している。
昨日 (2025/03/12) に投稿した、「SSRF 攻撃の脅威が拡大:組織的に複数の CVE を悪用する 400+ の IP アドレス – GreyNoise 調査」のアップデート情報です。SSRF 攻撃の急増に先行して、Grafana のパス・トラバーサルの試行が観測されたとのことです。現時点では、悪用が確認された Grafana のパス・トラバーサルの CVE は不明ですが、悪用が確認されている SSRF 脆弱性に関しては、GreyNoise のレポートに明示されています。本文中にもある通り、あらゆる国や製品を標的に、攻撃が世界中に展開されていますので、十分にご注意下さい。
IoT OT Security News 
You must be logged in to post a comment.