Een groot aantal server-side request forgery (SRRF)-aanvallen zijn op 9 maart uitgevoerd, gericht op producten van onder meer BerriAI, ColumbiaSoft, DotNetNuke, GitLab, OpenBMCS, VMware en Zimbra. In de aanloop naar deze aanvallen zijn diverse kwetsbaarheden in Grafana uitgebuit, vermoedelijk om de interne netwerkstructuur van organisaties in kaart te brengen en waardevolle doelwitten te identificeren.

Dit meldt beveiligingsbedrijf GreyNoise, dat de aanvallen analyseerde. GreyNoise meldt op 9 maart een opvallende piek in de hoeveelheid SRRF-aanvallen te hebben gedetecteerd. Vanaf zeker 400 IP-adressen zijn gelijktijdig diverse kwetsbaarheden uitgebuit voor het uitvoeren van SRRF-aanvallen. Onder meer organisaties in Duitsland, de Verenigde Staten, Singapore, India en Japan waren daarbij doelwit. Enkele dagen later - op 11 maart - waren ook een aantal organisaties in Nederland doelwit. Het is onduidelijk om welke partijen het gaat.

Verkenning

GreyNoise meldt dat aanvallers in de aanloop naar deze reeks SRRF-aanvallen gebruik hebben gemaakt van zogeheten 'path traversal'-kwetsbaarheden in monitoring- en analyseplatform Grafana. Deze maken het onder meer mogelijk toegang te verkrijgen tot configuratiebestanden en informatie over interne netwerken. De timing van deze activiteit en de SRRF-aanvallen die hierop volgde doet volgens GreyNoise vermoeden dat de aanvallers verkenningen hebben uitgevoerd voor het identificeren van waardevolle doelwitten, die zij vervolgens met de SRRF-aanvallen hebben aangevallen. "Hoewel het directe verband tussen deze gebeurtenissen nog niet is bevestigd, past het patroon bij mogelijk gecoördineerdere activiteiten dan aanvankelijk gemeld", schrijft GreyNoise.

Het beveiligingsbedrijf wijst op het belang van het monitoren van netwerken op dergelijke verkenningsactiviteitein, wat vroegtijdige signalen kan opleveren die wijzen op een aanstormende cyberaanval. Ook geeft dit securityspecialisten de tijd om maatregelen te nemen en de activiteiten van aanvallers te verstoren. Daarnaast roept GreyNoise organisaties op tot het updaten van kwetsbare systemen, beperken van toegang waar mogelijk en monitoren op onverwachte uitgaande verzoeken die kunnen wijzen op SRRF-aanvallen.