Грешките в Grafana са обект на широка кампания за експлоатиране на SSRF

Уязвимостите на Grafana за обхождане на пътища са били използвани преди широка кампания, насочена към грешки при подправяне на заявки от страна на сървъра (SSRF) в множество популярни платформи, съобщава фирмата за разузнаване на заплахи GreyNoise.

Като част от координираната експлоатация на SSRF недостатъци, която се разрасна през уикенда, са наблюдавани повече от 400 IP адреси, насочени към продуктите Zimbra, GitLab, DotNetNuke, VMware, ColumbiaSoft, Ivanti, BerriAI и OpenBMCS.

Според GreyNoise много от IP адресите, използвани за осъществяване на атаките, са били насочени едновременно към множество уязвимости на SSRF, което предполага използването на автоматизация и потенциално фокусиране върху събирането на разузнавателна информация преди компрометирането.

Повечето от атаките са били насочени към структури в САЩ, Германия, Индия, Япония и Сингапур, но миналата седмица GreyNoise наблюдава фокус върху Израел и Нидерландия.

През декември експлоатацията на SSRF е нараснала срещу Австралия, Франция, Тайван, Хонконг, Катар, Южна Корея и Словакия, твърди GreyNoise.

Фирмата за сигурност отбелязва, че използването на уязвимостите SSRF позволява на нападателите да картографират вътрешните мрежи, да идентифицират уязвими услуги и да крадат пълномощни за облачни услуги. GreyNoise посочва, че уязвимостите SSRF са изиграли основна роля в пробива в Capital One през 2019 г., който е засегнал над 100 милиона души.

В сряда фирмата за разузнаване на заплахи предупреди, че е наблюдавала „опити за обхождане на пътя на Grafana, предшестващи координирания скок на SSRF“.

Това, според компанията, предполага, че нападателите може да използват Grafana, платформа за анализ и интерактивна визуализация с отворен код, за разузнаване, за да идентифицират ценни цели в средите на жертвите, за по-нататъшна експлоатация.

По-рано използването на недостатъци в обхождането на пътища в Grafana позволяваше на нападателите да получат достъп до конфигурационни файлове и информация за вътрешната мрежа, казва GreyNoise. Не е установена обаче пряка връзка между двете събития.

„Въпреки че прякото приписване не е ясно, времето предполага многофазова стратегия за атака, при която нападателите първо картографират изложената инфраструктура, преди да ескалират атаките си. Моделът съответства на потенциално по-координирана дейност от първоначално съобщената“, отбелязва GreyNoise.

#атаки

По материали от Интернет

Подобни

Oпасен бъг в React Server Components

5.12.2025

laptop-bug-fix-lvcandy-istock-vectors-getty-images-56a6fa1b5f9b58b7d0e5ce40

Критична уязвимост във Vim за Windows

5.12.2025

vulnerabilities pexels-shkrabaanthony-5475752

Критична уязвимост в Sneeit Framework за WordPress е под активна експлоатация

5.12.2025

Социален инженеринг извън имейлите - заплахите в реалния живот

5.12.2025

Microsoft тихомълком поправи критична уязвимост в Windows Shortcut (LNK)

4.12.2025

Критична уязвимост в Microsoft Azure API Management

2.12.2025

80% of companies experience security incidents in the Cloud

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"