資安業者 GreyNoise 在 2025 年聖誕假期期間,觀察到一場針對 Adobe ColdFusion 伺服器的大規模協同攻擊行動,
駭客利用約 12 個 ColdFusion 漏洞發動了數千次攻擊嘗試。
根據 GreyNoise 報告,這波攻擊似乎出自單一駭客。該攻擊者使用日本基礎設施(CTG Server Limited),產生了約 98% 的攻擊流量,系統性地利用 2023 年至 2024 年間超過 10 個 ColdFusion CVE 漏洞。
攻擊規模與目標分布
研究人員觀察到 5,940 個惡意請求,利用 2023 年至 2024 年間的 ColdFusion 漏洞發動攻擊,攻擊高峰出現在 12 月 25 日。主要目標為美國(4,044 次)、西班牙(753 次)和印度(128 次)的伺服器。
攻擊者使用 ProjectDiscovery Interactsh 進行帶外驗證(out-of-band verification),主要攻擊手法為 JNDI/LDAP 注入。大部分攻擊活動集中在聖誕節當天,顯示攻擊者刻意選在安全監控較為鬆懈的假期時段發動攻擊。
主要威脅行為者分析
GreyNoise 確認主要威脅行為者使用兩個 IP 位址(
134.122.136[.]119 和
134.122.136[.]96),由 CTG Server Limited(AS152194)託管,幾乎負責所有觀察到的 ColdFusion 攻擊流量。這兩個 IP 佔了超過 98% 的請求量,經常同時運作,共享 Interactsh 會話,並展現出
自動化、
協同行為,循環執行多種攻擊類型。
CTG Server Limited 是一家註冊於香港的服務供應商,其 IP 空間快速擴張。該公司過去曾與網路釣魚、垃圾郵件、bogon 路由及濫用執法不力等問題有關,引發外界對其作為寬鬆託管環境的擔憂。
主要攻擊目標漏洞
攻擊者鎖定的 ColdFusion 漏洞包括:
- 通用遠端程式碼執行(Generic RCE):1,403 次請求
- 通用本地檔案包含(Generic LFI):904 次請求
- CVE-2023-26359(反序列化 RCE):833 次請求
- CVE-2023-38205(存取控制繞過):654 次請求
- CVE-2023-44353(遠端程式碼執行):611 次請求
- CVE-2023-38203、CVE-2023-38204(遠端程式碼執行):各 346 次請求
- CVE-2023-29298(存取控制繞過):342 次請求
- CVE-2023-29300(遠端程式碼執行):176 次請求
- CVE-2024-20767(任意檔案讀取):146 次請求
更大規模的掃描行動
分析顯示,ColdFusion 攻擊僅佔整體漏洞掃描行動的約 0.2%,而這些掃描來自相同的兩個 IP 位址。整體行動共產生超過 250 萬個請求,鎖定 2001 年至 2025 年間的 767 個 CVE 漏洞,涵蓋超過 1,200 個攻擊特徵及數千個獨特指紋與 OAST 網域。
該行動主要聚焦於偵察(reconnaissance),其次為 CVE 漏洞利用、本地檔案包含(LFI)及遠端程式碼執行(RCE)嘗試。攻擊目標涵蓋超過 47 種技術堆疊,包括 Java 應用程式伺服器、網頁框架、內容管理系統(CMS)平台、網路設備及企業軟體。
從攻擊規模、CVE 涵蓋範圍及自動化指標來看,這是一場系統性、基於範本的偵察行動,涵蓋全球漏洞態勢。
本文轉載自 SecurityAffairs。