Istraživači cyber sigurnosti otkrili su detalje koordinirane aktivnosti skeniranja u cloud-u koja je ranije ovog mjeseca ciljala 75 različitih “tačaka izloženosti”.
Aktivnost, koju je GreyNoise primijetio 8. maja 2025. godine, uključivala je čak 251 zlonamjernu IP adresu koja je geolocirana u Japanu i koju hostuje Amazon.
„Ove IP adrese su pokrenule 75 različitih ponašanja, uključujući CVE iskorištavanja, sonde za pogrešnu konfiguraciju i aktivnosti izviđanja“, saopštila je firma za obavještajne podatke o prijetnjama . „Sve IP adrese su bile tihe prije i poslije porasta broja napada, što ukazuje na privremeni najam infrastrukture za jednu operaciju.“
Utvrđeno je da su napori skeniranja bili usmjereni na širok spektar tehnologija, između ostalih, od Adobe ColdFusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch i Oracle WebLogic.
Oportunističke operacije kretale su se od pokušaja iskorištavanja poznatih CVE-ova do ispitivanja pogrešnih konfiguracija i drugih slabih tačaka u web infrastrukturi, što ukazuje na to da su hakeri neselektivno tražili bilo koji ranjivi sistem.
- Adobe ColdFusion — CVE-2018-15961 (Udaljeno izvršavanje koda)
- Apache Struts — CVE-2017-5638 (OGNL injekcija)
- Atlassian Confluence — CVE-2022-26134 (OGNL injekcija)
- Bash — CVE-2014-6271 (Shellshock)
- Elasticsearch — CVE-2015-1427 (Zaobilaženje Groovy sandbox-a i udaljeno izvršavanje koda)
- Skeniranje CGI skripti
- Izloženost varijablama okoline
- Git konfiguracijski crawleri
- Provjere otpremanja u Shell i
- Provjere autora WordPressa
Zanimljiv aspekt je da je skeniranje širokog spektra bilo aktivno samo 8. maja, bez primjetne promjene aktivnosti prije ili poslije tog datuma.
GreyNoise je saopštio da je 295 IP adresa skenirano za CVE-2018-15961, 265 IP adresa za Apache Struts i 260 IP adresa za CVE-2015-1427. Od toga, 262 IP adrese su se preklapale između ColdFusiona i Strutsa, a 251 IP adresa se preklapala u sva tri skeniranja ranjivosti.
„Ovaj nivo preklapanja ukazuje na jednog operatera ili skup alata raspoređenih na mnogim privremenim IP adresama – što je sve češći obrazac u oportunističkom, ali orkestralnom skeniranju“, rekao je GreyNoise.
Da bi se ublažila aktivnost, organizacije su dužne odmah blokirati malicozne IP adrese, iako treba napomenuti da naknadna eksploatacija može proizaći iz različitih infrastruktura.
Izvor:The Hacker News