Уязвимостите на Grafana за обхождане на пътища са били използвани преди широка кампания, насочена към грешки при подправяне на заявки от страна на сървъра (SSRF) в множество популярни платформи, съобщава фирмата за разузнаване на заплахи GreyNoise.
Като част от координираната експлоатация на SSRF недостатъци, която се разрасна през уикенда, са наблюдавани повече от 400 IP адреси, насочени към продуктите Zimbra, GitLab, DotNetNuke, VMware, ColumbiaSoft, Ivanti, BerriAI и OpenBMCS.
Според GreyNoise много от IP адресите, използвани за осъществяване на атаките, са били насочени едновременно към множество уязвимости на SSRF, което предполага използването на автоматизация и потенциално фокусиране върху събирането на разузнавателна информация преди компрометирането.
Повечето от атаките са били насочени към структури в САЩ, Германия, Индия, Япония и Сингапур, но миналата седмица GreyNoise наблюдава фокус върху Израел и Нидерландия.
През декември експлоатацията на SSRF е нараснала срещу Австралия, Франция, Тайван, Хонконг, Катар, Южна Корея и Словакия, твърди GreyNoise.
Фирмата за сигурност отбелязва, че използването на уязвимостите SSRF позволява на нападателите да картографират вътрешните мрежи, да идентифицират уязвими услуги и да крадат пълномощни за облачни услуги. GreyNoise посочва, че уязвимостите SSRF са изиграли основна роля в пробива в Capital One през 2019 г., който е засегнал над 100 милиона души.
В сряда фирмата за разузнаване на заплахи предупреди, че е наблюдавала „опити за обхождане на пътя на Grafana, предшестващи координирания скок на SSRF“.
Това, според компанията, предполага, че нападателите може да използват Grafana, платформа за анализ и интерактивна визуализация с отворен код, за разузнаване, за да идентифицират ценни цели в средите на жертвите, за по-нататъшна експлоатация.
По-рано използването на недостатъци в обхождането на пътища в Grafana позволяваше на нападателите да получат достъп до конфигурационни файлове и информация за вътрешната мрежа, казва GreyNoise. Не е установена обаче пряка връзка между двете събития.
„Въпреки че прякото приписване не е ясно, времето предполага многофазова стратегия за атака, при която нападателите първо картографират изложената инфраструктура, преди да ескалират атаките си. Моделът съответства на потенциално по-координирана дейност от първоначално съобщената“, отбелязва GreyNoise.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
