Sunucu tarafı talep ampudu (SSRF) istismarında yakın zamanda yapılan bir artış, bu güvenlik açıklarının ortaya koyduğu tehdidi vurgulayarak greynoise tarafından tespit edilmiştir.
Grinnoise, SSRF saldırılarında koordineli bir artış gözlemledi, en az 400 benzersiz IPS aktif olarak SSRF ile ilgili birden fazla CVE’yi aktif olarak kullandı.
Bu model, botnet’lerin tipik gürültüsünden ziyade, muhtemelen otomasyon veya ortaklık öncesi istihbarat toplantısını içeren yapılandırılmış sömürü önermektedir.
SSRF sömürü eğilimleri ve sonuçları
SSRF güvenlik açıkları özellikle saldırganlar için çekicidir, çünkü bulut sömürüsü, ağ keşfi ve dönme için kullanılabilirler.
Saldırganlar, SSRF’den yararlanarak Bulut Hizmetlerinde dahili meta veri API’larına erişebilir, dahili ağları harita yapabilir, savunmasız hizmetleri bulabilir ve bulut kimlik bilgilerini çalabilir.
SSRF sömürüsündeki son artış, SSRF güvenlik açıklarının 100 milyondan fazla rekorun gösterilmesinde kritik bir rol oynadığı 2019 Capital One Breach gibi tarihsel ihlalleri andırıyor.
Hedeflenen CVES, Zimbra İşbirliği Suite, GitLab CE/EE, VMware Workspace One UEM ve VMware VCenter gibi yaygın olarak kullanılan platformlarda güvenlik açıklarını içerir.
Özellikle, aynı IP’lerin çoğu, bilinen tek bir güvenlik açığına odaklanmak yerine stratejik bir yaklaşımı gösteren birden fazla SSRF güvenlik açığını hedeflemektedir.
Bu dalgalanma sırasında SSRF sömürü girişimleri alan en iyi ülkeler ABD, Almanya, Singapur, Hindistan ve Japonya idi ve İsrail’in Ocak ayı başlarında faaliyet gördü.
Savunucular için öneriler
Rapora göre, bu tehditleri azaltmak için kuruluşlar derhal harekete geçmelidir.
Bu, hedeflenen CV’ler için yamaları gözden geçirerek ve uygulayarak etkilenen sistemlerin yama ve sertleşmesini içerir.
Dahili uygulamalardan giden erişimi yalnızca gerekli uç noktalara sınırlamak da potansiyel hasarı sınırlamaya yardımcı olabilir.
Ek olarak, beklenmedik giden talepler için uyarılar oluşturmak SSRF sömürü girişimlerinin erken tespitine yardımcı olabilir.
Bu CVES ile ilişkili kötü niyetli IP’leri engellemek için Geynoise gibi hizmetleri kullanmak da önerilir.
Bu proaktif önlemleri alarak, kuruluşlar SSRF saldırılarına maruz kaldıklarını önemli ölçüde azaltabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.