2025 年圣诞节期间,一场协同攻击行动爆发,黑客针对 Adobe ColdFusion 服务器及其他 47 种以上技术平台发起了超 250 万次恶意请求。
经调查,此次攻击由单一威胁攻击者发起,其攻击基础设施位于日本境内。这表明攻击者正开展大规模漏洞扫描行动,目标既包括最新暴露的漏洞,也涵盖了近 20 年间的遗留漏洞。
在针对 ColdFusion 服务器的专项攻击阶段,攻击者利用了 2023-2024 年间披露的 10 余个高危漏洞(CVE 编号),其中圣诞节当天的攻击流量峰值占比高达 68%。攻击者特意选择节假日发起攻击,此时企业安全团队人手不足、防护能力下降,显然是有意利用这一监控空档期。
此次攻击共波及全球 20 个国家的 ColdFusion 服务器,相关恶意请求约 5940 次,其中美国地区的攻击会话占比达 68%。
攻击流量主要来自 CTG 服务器有限公司托管的两个核心 IP 地址,分别是 134.122.136.119 与 134.122.136.96。
攻击技术细节
该威胁攻击者借助 ProjectDiscovery Interactsh这一带外测试平台,验证攻击是否成功生效,并在 oast.pro、oast.site 及 oast.me 等服务上部署了近 1 万个独立的带外测试域名,用于接收攻击回调信息。
攻击者采用的核心攻击路径为WDDX 反序列化漏洞,进而触发Java 命名和目录接口 / 轻量级目录访问协议注入(JNDI/LDAP 注入) 攻击,攻击目标直指 com.sun.rowset.JdbcRowSetImpl 这一 Java 组件调用链。值得注意的是,针对 ColdFusion 服务器的攻击仅占此次大规模行动的 0.2%。
对整个攻击行动的全面分析显示,攻击者对 Java 应用服务器、Web 框架、内容管理系统平台及企业级应用中的 767 个不同漏洞展开了系统性侦察。其中,攻击频率最高的两个漏洞分别是 Confluence 的 OGNL 注入漏洞(CVE-2022-26134),遭 12481 次攻击;以及 “破壳” 漏洞(Shellshock,CVE-2014-6271),遭 8527 次攻击。
网络指纹分析结果显示,此次攻击共出现 4118 个独立的 JA4H HTTP 签名,这意味着攻击者很可能使用了 “Nuclei” 等框架开展模板化扫描。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容