Dünya çapında kuruluşları etkileyen çok sayıda yaygın olarak kullanılan platformda sunucu tarafı istek ampudu (SSRF) sömürüsünde koordineli bir artış tespit edilmiştir.
Güvenlik izleme, aynı anda SSRF ile ilgili birden fazla CVE’yi aktif olarak hedefleyen yaklaşık 400 benzersiz IP adresi ortaya koyarak sofistike ve potansiyel olarak tehlikeli bir kampanyayı gösteriyor.
Sömürü artışı 9 Mart 2025’te başladı ve saldırganlar, bilinen tek bir zayıflığa odaklanmak yerine birden fazla güvenlik açığını hedefleme modeli gösteriyor.
Bu koordineli yaklaşım, rutin botnet aktivitesinden ziyade yapılandırılmış sömürü, otomasyon ve istihbarat toplama önermektedir.
Saldırı paterni, farklı güvenlik açıklarına yönelik saldırı girişimleri arasında aynı IP adreslerinin birçoğu bisiklete binerek, alışılmadık derecede sistematik bir sömürü yaklaşımı göstermektedir.
Bu davranış, tipik fırsatçı saldırılardan önemli ölçüde farklıdır ve belirli hedeflere sahip iyi organize edilmiş bir operasyon olduğunu düşündürmektedir.
Geynoise analistleri, bu saldırganların en az on farklı SSRF ile ilgili CVE kullandıklarını belirledi.
Araştırmacılar, sömürü denemelerinin tipik olarak sunucuları kandırmak için hazırlanmış kötü amaçlı HTTP isteklerini, saldırganların seçiminin keyfi alanlarına yetkisiz iç veya harici istekler yapmak için içerdiğini belirtti.
SSRF güvenlik açıkları, saldırganların keyfi alanlara HTTP istekleri yapmak için sunucu işlevselliğini kötüye kullanmasına izin verir.
Bu güvenlik açıkları, dahili meta veri API’larına erişmek, dahili ağları haritalamak, savunmasız hizmetleri bulmak ve bulut kimlik bilgilerini çalmak için kullanabilecekleri bulut ortamlarında özellikle tehlikelidir.
Tipik bir SSRF istismarı, aşağıdaki kod örneği gibi bir istek içerebilir:-
GET /api/fetch?url=http://169.254.169.254/latest/meta-data/ HTTP/1.1
Host: vulnerable-server.com
User-Agent: Mozilla/5.0SSRF güvenlik açıklarının önemi, benzer sömürü teknikleri aracılığıyla 100 milyondan fazla müşteri rekorunu ortaya çıkaran 2019 Capital One ihlalinde önemli ölçüde vurgulandı.
Mevcut sömürü artışı, SSRF güvenlik açıklarının dünya çapında kuruluşlar için önemli riskler oluşturmaya devam ettiğini ayık bir hatırlatma görevi görüyor.
Coğrafi dağılım ve savunma önlemleri
Amerika Birleşik Devletleri en yüksek hacimde saldırı alan, ardından Hindistan, Litvanya, Kanada, Japonya ve birkaç Avrupa ülkesi.
İsrail, SSRF’nin sömürü faaliyetinin Ocak 2025 gibi erken bir tarihte, bu son artışta yenilenmiş faaliyetlerin gözlemlendiğini gördü.
9 Mart artışı sırasında SSRF sömürüsü alan en iyi ülkeler ABD, Singapur, Hindistan ve Japonya idi ve bu bölgelerdeki kuruluşlara hedeflenen ilgiyi önerdi.
.webp)
Kuruluşlar, etkilenen sistemleri CVE-2020-7796 (Zimbra işbirliği paketi), CVE-2021-2214 (GITLAB CE/EE), CVE-2021-39935 (Gitlab CE/EE), Gitlab (Gitlab (Gitlab CE/EE) dahil olmak üzere sömürülen CVES’e göre yamalayarak bu saldırılara maruz kalmamalarını sağlamak için acil adımlar atmalıdır. CE/EE), CVE-2017-0929 (DotNetnuke), CVE-2021-22054 (VMware Workspace One), CVE-2021-21973 (VMware vCenter), CVE-2023-5830 (Columbiasoft Connection Secure) CVE-2024-6587 (Berriai Litellm).
Güvenlik ekipleri, dahili IP aralıkları (10.0.0/8, 172.16.0.0/12, 192.168.0.0/16) içeren kullanıcı girdilerini reddeden veya sterilize eden URL doğrulamasını uygulamalı veya sterilize etmeli ve dahili uygulamalardan sadece gerekli uç noktalara giden bağlantıları kısıtlamalıdır.
Ayrıca, şüpheli giden taleplerin izlenmesi ve beklenmedik giden bağlantılar için uyarılar ayarlaması devam eden sömürü girişimlerinin tespit edilmesine yardımcı olabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.