גידול במתקפות SSRF – גם על ישראל
חוקרי GreyNoise: "שירותי ענן מודרניים רבים מסתמכים על ממשקי API פנימיים של מטא-נתונים, כך התוקפים יכולים לנצלם ולהשיג גישה לרשתות הקורבן" ● "לפחות 400 כתובות IP נצפו מנצלות באופן פעיל כמה פגיעויות"
בימים האחרונים חל "זינוק מתואם" במתקפות מסוג SSRF, ואלו משתרעות על פני פלטפורמות מרובות. בין המדינות שחוו את הגידול בהיקף המתקפות – ישראל.
חוקרי חברת מודיעין האיומים GreyNoise כתבו בדו"ח שלהם כי "לפחות 400 כתובות IP נצפו מנצלות באופן פעיל כמה פגיעויות כדי לתקוף בדרך זו – בו-זמנית – ויש חפיפה ניכרת בין ניסיונות התקיפה".
המדינות שהתגלו כיעד למתקפות הן ארה"ב, גרמניה, סינגפור, הודו, ליטא ויפן. מדינה בולטת נוספת היא ישראל, שחוותה זינוק שכזה שלשום (ג'). הזינוק המתואם הובחן על ידי החוקרים החל מיום א' השבוע, ה-9 בחודש. בישראל נרשמה פעילות ניצול של SSRF בינואר השנה, לצד פעילות מחודשת שנצפתה השבוע.
🚨 March 12 UPDATE: Grafana Exploitation May Signal Multi-Phase SSRF Attacks. Update + original analysis ⬇️ https://t.co/P4lD3wcQtX #Cybersecurity #GreyNoise #Vulnerability
— GreyNoise (@GreyNoiseIO) March 12, 2025
מתקפות SSRF – מה מתרחש במהלכן?
מתקפת SSRF (ר"ת Server-Side Request Forgery) היא סוג של מתקפה בה תוקף מצליח לגרום לשרת לבצע "בקשות רשת" (HTTP או HTTPS) לאתרים או לשרתים אחרים. התוקף מנצל חולשה זו, כדי לגשת למשאבי הרשת, או על מנת לבצע בקשות זדוניות, שיביאו לחשיפת מידע רגיש או לפעולות הרס אחרות. כך, השרת עובר מניפולציה ונענה להנחיית התוקף לשלוח בקשה מזויפת, ליעד לא מכוון.
חוקרי GreyNoise אמרו כי רבות מאותן כתובות IP שנצפו, כוונו לחולשות מרובות ב-SSRF בבת אחת, במקום להתמקד בחולשה מסוימת אחת. הם ציינו כי דפוס הפעילות מצביע על ניצול מובנה, מיכון, או איסוף מודיעין לפני פריצה.
"שירותי ענן מודרניים רבים מסתמכים על ממשקי API פנימיים של מטא-נתונים", כתבו החוקרים, "וכך התוקפים יכולים לנצל אותם ולהשיג גישה לרשתות הקורבן. ניתן להשתמש במתקפה מסוג SSRF כדי למפות רשתות פנימיות, לאתר שירותים פגיעים ולגנוב אישורי ענן".
מדינות נוספות שחוו גידול במתקפות אלו, מאז דצמבר 2024, הן: הונג קונג, דרום קוריאה, אוסטרליה, צרפת, טייוואן, קטאר וסלובקיה.
מומחים הזכירו כי סוג מתקפה זה שימש לאחד מאירועי דליפת הנתונים הגדול ביותר אי פעם: במרץ 2019 האקרית השיגה גישה ליותר מ-100 מיליון חשבונות לקוחות בנק קפיטל וואן (Capital One).
פייג' תומפסון, מהנדסת תוכנה בת 33 מסיאטל, פרצה לשרת של קפיטל וואן, וכך השיגה גישה ל-140 אלף מספרי ביטוח לאומי בארצות הברית, אל מיליון מספרי ביטוח לאומי קנדיים וכ-80 אלף מספרי חשבון בנק. זאת, בנוסף למספר לא ידוע של שמות, כתובות, דירוגי אשראי, מסגרות אשראי, יתרות ומידע אחר. כך, הפריצה כללה נתונים פרטיים על 100 מיליון אמריקנים ושישה מיליון קנדים.
תגובות
(0)