Pesquisadores de ciberseguranca detectaram uma onda coordenada de exploração de falhas SSRF (Server-Side Request Forgery) em diversas plataformas. Segundo a pesquisa, pelo menos 400 endereços IP foram identificados explorando múltiplas falhas SSRF simultaneamente, sugerindo um ataque automatizado e bem estruturado. Os ataques foram observados a partir de 9 de março de 2025 e têm como alvos principais empresas nos Estados Unidos, Alemanha, Cingapura, Índia, Lituânia e Japão.

Além disso, a Israel registrou um pico de tentativas de exploração em 11 de março de 2025, indicando uma possível intensificação da campanha na região. A lista de vulnerabilidades exploradas inclui falhas críticas em Zimbra Collaboration Suite (CVE-2020-7796), GitLab CE/EE (CVE-2021-22175, CVE-2021-22214), VMware vCenter (CVE-2021-21973), Ivanti Connect Secure (CVE-2024-21893), entre outras. Algumas falhas exploradas sequer possuem CVEs registrados, incluindo vulnerabilidades no OpenBMCS e no Zimbra Collaboration Suite.

A GreyNoise alertou que muitos dos mesmos endereços IP estão atacando múltiplas falhas ao mesmo tempo, em vez de focar em uma vulnerabilidade específica. Esse comportamento sugere uma campanha estruturada, possivelmente baseada em automatização ou coleta de inteligência antes de ataques mais direcionados. O SSRF é uma técnica frequentemente usada para mapear redes internas e acessar APIs de metadados em serviços em nuvem, o que pode permitir que hackers roubem credenciais e descubram serviços vulneráveis dentro de infraestruturas corporativas.