28 сентября 2025 года система GreyNoise зафиксировала резкий всплеск попыток эксплуатации уязвимости CVE-2021-43798 в платформе визуализации данных Grafana. За одни сутки специалисты наблюдали 110 уникальных IP-адресов, атакующих систему глобального мониторинга GreyNoise Global Observation Grid. Все идентифицированные адреса были классифицированы как вредоносные.
Описание
Внезапная активность после месяцев затишья
До 28 сентября активность, связанная с эксплуатацией уязвимостей Grafana, оставалась на минимальном уровне. Однако в указанную дату произошел резкий скачок: 110 уникальных IP-адресов за сутки, при этом большинство из них впервые появились в поле зрения именно в день атаки. География атаки оказалась ограниченной: цели располагались только в США, Словакии и на Тайване. Подавляющее большинство атакующих IP-адресов (107 из 110) были геолоцированы в Бангладеш, еще два в Китае и один в Германии. Примечательно, что 105 бангладешских адресов целенаправленно атаковали конечные точки в США.
Согласованные паттерны атаки
Анализ данных выявил две характерные особенности этой кампании. Во-первых, наблюдалась единообразная схема целеполагания: все источники следовали четкому распределению целей в соотношении примерно 3:1:1 (США:Словакия:Тайвань). Эта закономерность сохранялась при детальном рассмотрении по странам-источникам. Китайские IP-адреса атаковали США (7 попыток), Словакию (2) и Тайвань (2). Немецкий адрес демонстрировал аналогичное поведение: 3 атаки на США, по одной на Словакию и Тайвань. Бангладешские источники сконцентрировались на американских целях (100 атак) с единичными обращениями к другим странам.
Во-вторых, была отмечена конвергенция инструментов атаки. Анализ TCP-отпечатков показал их соответствие тем же трем целевым странам. При изучении более ранней активности по данному тегу GreyNoise идентифицировал как минимум два различных HTTP-отпечатка, что указывает на использование нескольких инструментов против общего набора целей. Совпадение как географических, так и инструментальных паттернов свидетельствует о скоординированной задаче или общем списке целей, а не о несогласованных действиях отдельных злоумышленников.
Примечательная инфраструктура
Среди атакующей инфраструктуры выделяются два IP-адреса из Китая: 60.186.152.35 и 122.231.163.197. Оба принадлежат сети CHINANET-BACKBONE, были впервые замечены 28 сентября, проявляли активность только в этот день и практически полностью фокусировались на атаках против Grafana.
Контекст угрозы
Эксплуатация старых, но высокоопасных уязвимостей, подобных CVE-2021-43798, является распространенной практикой среди различных категорий нарушителей. Уязвимости обхода путей в Grafana неоднократно использовались в крупномасштабных кампаниях SSRF (подделки межсайтовых запросов) и волнах эксплуатации, нацеленных на множество IP-адресов и программных экосистем. Уязвимости Grafana, включая недавно обнаруженную CVE-2025-6023, активно исследуются и внедряются в инструментарий злоумышленников для захвата учетных записей. В рекомендациях и анализах экспертов по безопасности уязвимости Grafana регулярно упоминаются на этапах разведки в многоступенчатых цепочках эксплуатации, таких как кампании SSRF.
Оценка ситуации
Данная активность отражает скоординированную атаку на известную уязвимость четырехлетней давности. Единообразные паттерны целеполагания across стран-источников и инструментов указывают на общую задачу или совместное использование эксплойта. Хотя GreyNoise не приписывает эту кампанию конкретному субъекту угроз, конвергенция признаков предполагает либо одного оператора, использующего разнообразную инфраструктуру, либо нескольких операторов, применяющих один и тот же набор эксплойтов и целей.
Эксперты прогнозируют, что старые уязвимости, подобные CVE-2021-43798 и даже более ранние, будут продолжать возрождаться в будущем. Исследование GreyNoise, проведенное ранее в этом году, подробно описывает паттерны и модели поведения, характерные для возрождающихся уязвимостей, а также методы опережающей защиты.
Рекомендации для специалистов по безопасности
Необходимо убедиться, что экземпляры Grafana защищены от уязвимости CVE-2021-43798. Следует провести анализ журналов на предмет признаков запросов обхода путей и убедиться, что конфиденциальные файлы не были извлечены.
Индикаторы компрометации
IPv4
- 122.231.163.197
- 152.56.68.80
- 158.140.182.67
- 185.250.39.25
- 213.7.220.88
- 60.186.152.35
- 85.142.100.82
