Mais de 400 IPs exploram falhas SSRF em ataque cibernético global

A empresa de inteligência de ameaças GreyNoise identificou um aumento expressivo na exploração de vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF). De acordo com a empresa, mais de 400 endereços IP estão envolvidos em tentativas simultâneas de exploração de múltiplas falhas SSRF, sugerindo uma campanha coordenada e automatizada.

Ataque coordenado explora falhas SSRF em múltiplas plataformas

Alvo global das explorações

Os ataques têm sido registrados em diversos países, incluindo Estados Unidos, Alemanha, Cingapura, Índia, Lituânia e Japão. Israel, em particular, testemunhou um aumento considerável na atividade em 11 de março de 2025, o que sugere um foco específico em determinadas regiões.

Lista de vulnerabilidades exploradas

Os criminosos estão explorando uma série de falhas conhecidas, com diferentes graus de gravidade segundo a pontuação CVSS:

• CVE-2017-0929 (7,5) – DotNetNuke
• CVE-2020-7796 (9,8) – Zimbra Collaboration Suite
• CVE-2021-21973 (5,3) – VMware vCenter
• CVE-2021-22054 (7,5) – VMware Workspace ONE UEM
• CVE-2021-22175 (9,8) – GitLab CE/EE
• CVE-2021-22214 (8,6) – GitLab CE/EE
• CVE-2021-39935 (7,5) – GitLab CE/EE
• CVE-2023-5830 (9,8) – ColumbiaSoft DocumentLocator
• CVE-2024-6587 (7,5) – BerriAI LiteLLM
• CVE-2024-21893 (8,2) – Ivanti Connect Secure
• Tentativa SSRF autenticada do OpenBMCS 2.4 (sem CVE)
• Tentativa de SSRF no Zimbra Collaboration Suite (sem CVE)

Indícios de ataque coordenado

A GreyNoise observou que muitos dos mesmos endereços IP estão explorando diversas falhas SSRF simultaneamente, ao invés de focar em uma vulnerabilidade específica. Esse comportamento sugere um ataque estruturado e possivelmente automatizado, possivelmente para mapeamento de redes internas ou roubo de credenciais em serviços na nuvem.