Grafana 경로이탈 취약점 기반 SSRF 정찰 및 다중 플랫폼 대상 자동화 공격 급증

Grafana Flaws Likely Targeted in Broad SSRF Exploitation Campaign

 

Experts warn of a coordinated surge in the exploitation attempts of SSRF vulnerabilities

Experts warn of a coordinated surge in the exploitation attempts of SSRF vulnerabilities

 

• 개요
  • 2025년 3월 9일을 전후로 400개 이상 IP 주소가 여러 플랫폼의 SSRF(Server-Side Request Forgery) 취약점을 동시다발적으로 악용
  • GreyNoise는 이 공격이 단순한 봇넷 공격이 아닌 정교한 자동화 기반의 정찰 및 침투 전략이라고 분석
  • 공격자들은 Grafana의 경로이탈(Path Traversal) 취약점을 사전 정찰 수단으로 활용하고, 이후 SSRF 취약점 악용으로 내부 시스템 접근을 시도한 것으로 보임
• 공격 진행 방식 및 전략
  • 초기 단계에서 Grafana 취약점을 이용하여 구성파일 및 내부 IP 정보를 수집
  • 이후 내부 구조 파악에 기반해 Zimbra, GitLab, VMware, DotNetNuke 등 인기 플랫폼 대상 SSRF 취약점을 일괄 공격
  • 공격 대상에는 미국, 독일, 인도, 일본, 싱가포르, 이스라엘, 네덜란드 등이 포함되며, 이전에는 한국, 대만, 프랑스 등도 피해 경험
• 악용된 주요 취약점 목록
  • CVE-2020-7796: Zimbra Collaboration Suite
  • CVE-2021-22214 / 39935 / 22175: GitLab CE/EE
  • CVE-2017-0929: DotNetNuke
  • CVE-2021-22054: VMware Workspace ONE UEM
  • CVE-2021-21973: VMware vCenter
  • CVE-2023-5830: ColumbiaSoft DocumentLocator
  • CVE-2024-21893: Ivanti Connect Secure
  • CVE-2024-6587: BerriAI LiteLLM
  • 미 CVE 부여 사례: OpenBMCS 2.4 인증 기반 SSRF, Zimbra 비공식 SSRF
• SSRF의 위험성 및 공격자 활용 목적
  • 내부 시스템 또는 메타데이터 서버로 요청을 유도하여 내부망 구성 및 클라우드 자격 증명 획득
  • 서버 간 이동(pivoting) 또는 lateral movement를 위한 초기 진입점 확보
  • 과거 Capital One 데이터 유출 사고(2019년)와 같이 대규모 피해로 이어질 수 있는 위협 벡터로 분류
• 보안 권고
  • 취약한 시스템 및 소프트웨어에 즉각적인 패치 적용
  • 아웃바운드 트래픽에 대한 방화벽 및 ACL 제한 정책 적용
  • SSRF 탐지를 위한 WAF 또는 SIEM 기반 탐지 규칙 적용 및 알림 설정
  • API 서버 및 메타데이터 주소(169.254.169.254)에 대한 비인가 접근 차단
  • Grafana 서버 구성파일 보호 및 최신 보안 업데이트 적용 필수
  • 자산 식별 및 취약점 스캐닝을 통한 사전 위협 모니터링 수행
• 결론
  • 이번 공격은 사전 정찰 → SSRF 일괄 공격이라는 다단계 침투 전략의 일환이며, 특히 클라우드 인프라 기반 기업의 내부정보 탈취 및 서비스 권한 탈취 가능성이 매우 높음
  • Grafana, GitLab, VMware 등 오픈소스 시스템의 취약점이 공격자에게 고급 정찰 수단으로 활용되고 있음을 명확히 인식하고, 자동화 기반 보안 통제를 강화해야 함
  • 보안 시스템과 개발 조직 간 협업을 통해 자산 및 구성 요소 가시성을 확보하고, 내부 리소스에 대한 보호 정책 재정비가 필요