資安業者GreyNoise Labs公布研究指出,2025年聖誕節連假期間出現一波針對Adobe ColdFusion伺服器的協同掃描與濫用嘗試,流量高峰落在12月25日。研究人員統計ColdFusion相關請求共5,940次,目標涵蓋20個國家,顯示攻擊者傾向挑在假期維運與監控力道較弱的時段,加大對既有漏洞的掃描與嘗試利用。
研究人員指出,這波活動的流量高度集中,約98%來自同一自治系統(Autonomous System)AS152194之下的兩個來源IP。兩個IP以1至5秒的節奏自動送出請求,且部分時間同時運作,呈現協同基礎設施的特徵。同時,攻擊者也會針對同一目標輪番切換多種攻擊手法,以提高命中率與覆蓋面。
攻擊者大量使用ProjectDiscovery的Interactsh平臺進行界外回呼(Out-of-band Callback)驗證,也就是透過外部回呼來確認探測是否奏效。就本次事件而言,研究人員點名JNDI與LDAP注入是主要向量,並搭配多個回呼網域追蹤每一次嘗試的結果。
受影響的漏洞範圍以2023年至2024年間ColdFusion的10多個已知CVE為主,並搭配通用型的遠端程式碼執行與本地文件包含(Local File Inclusion)測試,同時也可見少量針對較舊漏洞的驗證請求。研究人員強調,攻擊並非只鎖定單一漏洞,而是以組合方式逐一試探多個入口,從存取控制繞過、任意檔案讀取到遠端程式碼執行都在掃描清單內。
而且這波ColdFusion活動其實只是更大規模掃描行動的一小部分,約占兩個主力IP整體掃描量的0.2%。同一批基礎設施累計送出逾250萬次請求,嘗試767個不同CVE,目標橫跨47種以上技術堆疊,並使用近1萬個Interactsh界外回呼網域。研究人員研判,這更像是一場有組織的漏洞偵察作業,可能與初始存取掮客(Initial Access Broker)的需求相符。
熱門新聞
2026-01-02
2026-01-02
2026-01-02
2026-01-02
2026-01-02
2026-01-02