GreyNoise je saopštio da je tokom božićnih praznika 2025. godine zabilježio hiljade zahtjeva usmjerenih na desetak ranjivosti u Adobe ColdFusionu.
Haker je, prema upozorenju GreyNoisea, ciljao približno desetak ranjivosti u Adobe ColdFusionu u okviru masivne kampanje za inicijalni pristup sistemima.
Tokom božićnih praznika 2025. godine, kompanija za obavještavanje o prijetnjama zabilježila je hiljade zahtjeva usmjerenih ka ColdFusion serverima širom svijeta, što je, kako se navodi, dio jedinstvenog, koordinisanog pokušaja upada.
Zahtjevi su uglavnom dolazili sa infrastrukture bazirane u Japanu, povezane sa kompanijom CTG Server Limited, pri čemu su dvije IP adrese činile većinu zabilježenog saobraćaja.
GreyNoise je registrovao približno 6.000 zahtjeva usmjerenih na ranjivosti u ColdFusionu koje su javno objavljene tokom 2023. i 2024. godine, a aktivnost je dostigla vrhunac 25. decembra.
„Kampanja je koristila ProjectDiscovery Interactsh za verifikaciju ‘out-of-band’ povratnih poziva, pri čemu su JNDI/LDAP injekcije bile primarni vektor napada. Namjerno tempiranje tokom Božića, kada je zabilježeno 68% ukupnog saobraćaja, ukazuje na ciljano djelovanje u periodima smanjenog bezbjednosnog nadzora“, navodi GreyNoise.
Većina zahtjeva bila je usmjerena na servere u Sjedinjenim Američkim Državama (4.044), Španiji (753), Indiji (128), kao i u Kanadi, Čileu, Njemačkoj i Pakistanu (po 100).
Dvije glavne IP adrese uključene u eksploataciju Adobe ColdFusiona zabilježene su kako istovremeno djeluju u 41% slučajeva, šaljući zahtjeve u intervalima od jedne do pet sekundi, kako bi po svakom cilju rotirale 11 različitih tipova napada.
Istraga GreyNoisea je pokazala da napadi na ColdFusion predstavljaju samo mali dio ukupne maliciozne aktivnosti povezane sa ove dvije IP adrese.
U okviru masivne kampanje eksploatacije, za koju se vjeruje da je vodi broker za inicijalni pristup, ove IP adrese su generisale više od 2,5 miliona zahtjeva usmjerenih na više od 700 bezbjednosnih propusta u desetinama različitih tehnoloških okruženja, navodi kompanija.
GreyNoise takođe ističe da je internet provajder koji hostuje ovu infrastrukturu ranije bio povezan sa malicioznim aktivnostima, poput phishinga i slanja spama.
Riječ je o provajderu koji posluje pod AS152194, registrovanom u Hong Kongu, koji kontroliše više od 200.000 IPv4 adresa i, kako se navodi, vjerovatno posluje uz ograničeno sprovođenje mjera protiv zloupotreba.
Izvor: SecurityWeek
