一般來說,為了尋找目標,駭客往往會事先透過網路掃描,找出網際網路上具有特定弱點的應用系統,日後再對其發動攻擊,這樣的情況相當常見,也因此早年有些研究人員在未經許可的情況挖掘資安弱點,常常被企業組織認為不懷好意。而這種掃描弱點的活動,多半被視為攻擊行動前兆,過往大多駭客鎖定的弱點相當單一、明確,但如今出現一口氣掃描超過70種弱點的活動,引起研究人員的注意。
威脅情報業者GrayNoise指出,他們在5月8日發現一起不尋常的活動,有人利用251個由Amazon代管、位於日本的IP位址,進行大規模弱點掃描,針對75種應用系統曝險的情況而來,包含已知漏洞、錯誤配置,或是對系統進行偵察。特別的是,這些IP位址只在當天出現活動,在此之前及之後皆未有動靜,代表攻擊者可能租用臨時雲端基礎設施來從事活動。由於這種掃描行為往往是駭客從事攻擊行動的徵兆,他們呼籲IT人員要趕快檢查5月8日的事件記錄資料,並對相關惡意行為進行監控,以及動態封鎖從事這些行為的IP位址。
針對駭客掃描的資安漏洞,涵蓋Adobe ColdFusion遠端程式碼執行(RCE)漏洞CVE-2018-15961、Apache Struts與Atlassian Confluence物件圖形導航語言(OGNL)注入漏洞CVE-2017-5638、CVE-2022-26134,以及Elasticsearch沙箱繞過漏洞CVE-2015-1427、Bash重大資安漏洞CVE-2014-6271(Shellshock)等,其共通點在於,都是已經揭露一段時間的已知漏洞,由於遭到鎖定的目標眾多,研究人員認為攻擊者並非針對特定應用系統而來,而是企圖尋找任何可能存在的弱點。
除了已知漏洞,攻擊者也執行偵察活動,像是檢查WordPress網站的作者、CGI指令碼掃描,甚至是嘗試存取網站的web.xml檔案;再者,他們也試圖找出錯誤組態,例如:對Git組態進行爬蟲、曝露的ENV環境變數,以及檢查能否上傳Shell檔案。
研究人員也提及這些掃描行為有所交集,背後很可能透過集中控管進行,而非個別的攻擊行動。他們提及駭客對295個IP位址掃描CVE-2018-15961、265個IP位址掃描CVE-2017-5638、260個IP位址掃描CVE-2015-1427,但有262個IP位址同時被掃描CVE-2018-15961與CVE-2017-5638,且有251個IP位址進行所有75項攻擊行為。
熱門新聞
2025-07-07
2025-07-07
2025-07-03
2025-07-04
2025-07-07
2025-07-07
2025-07-07