Các Cuộc Tấn Công Lừa Đảo SSRF và Biện Pháp Bảo Mật

18/03/2025
2 mins read

Bài viết từ GBHackers đề cập đến sự gia tăng gần đây trong các cuộc tấn công lừa đảo yêu cầu từ phía máy chủ (SSRF), nhấn mạnh một số điểm chính:

  1. Các cuộc tấn công SSRF có tổ chức:

    Ít nhất 400 địa chỉ IP khác nhau đã được quan sát đang tích cực khai thác nhiều CVE liên quan đến SSRF một cách đồng thời, cho thấy một cách tiếp cận có tổ chức và cấu trúc cho các cuộc tấn công.

  2. Các lỗ hổng mục tiêu:

    Các cuộc tấn công đang nhắm mục tiêu vào các lỗ hổng quan trọng trong các nền tảng phần mềm được sử dụng rộng rãi, bao gồm:

    • CVE-2020-7796 ảnh hưởng đến Zimbra Collaboration Suite
    • CVE-2021-21973 và CVE-2021-22054 ảnh hưởng đến các sản phẩm VMware
    • Nhiều CVE trong các phiên bản CE/EE của GitLab
    • Các lỗ hổng trong DotNetNuke và Ivanti Connect Secure
  3. Phân bổ địa lý:

    Các cuộc tấn công không bị giới hạn ở một khu vực đơn lẻ mà trải rộng qua nhiều quốc gia, bao gồm Hoa Kỳ, Đức, Singapore, Ấn Độ, Nhật Bản và Lithuania.

  4. Kỹ thuật tấn công:

    Các lỗ hổng SSRF cho phép kẻ tấn công truy cập các API siêu dữ liệu nội bộ trong các dịch vụ đám mây, lập bản đồ các mạng nội bộ, xác định các dịch vụ dễ bị tổn thương và đánh cắp thông tin xác thực đám mây.

  5. Ý nghĩa đối với các tổ chức:

    Sự gia tăng trong việc khai thác SSRF nhấn mạnh sự cần thiết phải có các biện pháp bảo mật vững chắc. Các tổ chức phải ưu tiên vá lỗi và củng cố hệ thống, đặc biệt trong môi trường đám mây nơi các API nội bộ có thể bị lộ ra ngoài. Giám sát lưu lượng outbound cho các yêu cầu bất thường và hạn chế các kết nối mạng cũng có thể giúp giảm thiểu rủi ro.

  6. Khuyến nghị cho các người bảo vệ:

    Để giảm thiểu những nguy cơ này, các tổ chức nên thực hiện các hành động ngay lập tức bằng cách:

    • Vá lỗi và củng cố các hệ thống bị ảnh hưởng
    • Hạn chế quyền truy cập outbound từ các ứng dụng nội bộ chỉ đến các điểm cuối cần thiết
    • Thiết lập cảnh báo cho các yêu cầu outbound bất ngờ
    • Sử dụng các dịch vụ như GreyNoise để chặn các IP độc hại liên quan đến các CVE này.

Bằng cách hiểu được bản chất có tổ chức của những cuộc tấn công này, các nhóm CNTT có thể chuẩn bị tốt hơn cho và ứng phó với các vi phạm tiềm năng, đảm bảo rằng các chiến lược phòng thủ mạng chủ động được thực hiện.