image

'Aanvallers verkenden doelwitten in aanloop naar golf aan SRRF-aanvallen op 9 maart'

vrijdag 14 maart 2025, 15:56 door Redactie, 0 reacties

Een groot aantal server-side request forgery (SRRF)-aanvallen zijn op 9 maart uitgevoerd, gericht op producten van onder meer BerriAI, ColumbiaSoft, DotNetNuke, GitLab, OpenBMCS, VMware en Zimbra. In de aanloop naar deze aanvallen zijn diverse kwetsbaarheden in Grafana uitgebuit, vermoedelijk om de interne netwerkstructuur van organisaties in kaart te brengen en waardevolle doelwitten te identificeren.

Dit meldt beveiligingsbedrijf GreyNoise, dat de aanvallen analyseerde. GreyNoise meldt op 9 maart een opvallende piek in de hoeveelheid SRRF-aanvallen te hebben gedetecteerd. Vanaf zeker 400 IP-adressen zijn gelijktijdig diverse kwetsbaarheden uitgebuit voor het uitvoeren van SRRF-aanvallen. Onder meer organisaties in Duitsland, de Verenigde Staten, Singapore, India en Japan waren daarbij doelwit. Enkele dagen later - op 11 maart - waren ook een aantal organisaties in Nederland doelwit. Het is onduidelijk om welke partijen het gaat.

Verkenning

GreyNoise meldt dat aanvallers in de aanloop naar deze reeks SRRF-aanvallen gebruik hebben gemaakt van zogeheten 'path traversal'-kwetsbaarheden in monitoring- en analyseplatform Grafana. Deze maken het onder meer mogelijk toegang te verkrijgen tot configuratiebestanden en informatie over interne netwerken. De timing van deze activiteit en de SRRF-aanvallen die hierop volgde doet volgens GreyNoise vermoeden dat de aanvallers verkenningen hebben uitgevoerd voor het identificeren van waardevolle doelwitten, die zij vervolgens met de SRRF-aanvallen hebben aangevallen. "Hoewel het directe verband tussen deze gebeurtenissen nog niet is bevestigd, past het patroon bij mogelijk gecoördineerdere activiteiten dan aanvankelijk gemeld", schrijft GreyNoise.

Het beveiligingsbedrijf wijst op het belang van het monitoren van netwerken op dergelijke verkenningsactiviteitein, wat vroegtijdige signalen kan opleveren die wijzen op een aanstormende cyberaanval. Ook geeft dit securityspecialisten de tijd om maatregelen te nemen en de activiteiten van aanvallers te verstoren. Daarnaast roept GreyNoise organisaties op tot het updaten van kwetsbare systemen, beperken van toegang waar mogelijk en monitoren op onverwachte uitgaande verzoeken die kunnen wijzen op SRRF-aanvallen.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.