安全企业GreyNoise Labs公布研究指出,2025年圣诞节连假期间出现一波针对Adobe ColdFusion服务器的协同扫描与滥用尝试,流量高峰落在12月25日。研究人员统计ColdFusion相关请求共5,940次,目标涵盖20个国家,显示攻击者倾向挑在假期运维与监控力道较弱的时段,加大对既有漏洞的扫描与尝试利用。
研究人员指出,这波活动的流量高度集中,约98%来自同一自治系统(Autonomous System)AS152194之下的两个来源IP。两个IP以1至5秒的节奏自动送出请求,且部分时间同时运行,呈现协同基础设施的特征。同时,攻击者也会针对同一目标轮番切换多种攻击手法,以提高命中率与覆盖面。
攻击者大量使用ProjectDiscovery的Interactsh平台进行界外回呼(Out-of-band Callback)验证,也就是通过外部回呼来确认探测是否奏效。就本次事件而言,研究人员点名JNDI与LDAP注入是主要矢量,并搭配多个回呼域名关注每一次尝试的结果。
受影响的漏洞范围以2023年至2024年间ColdFusion的10多个已知CVE为主,并搭配通用型的远程程序代码执行与本地文件包含(Local File Inclusion)测试,同时也可见少量针对较旧漏洞的验证请求。研究人员强调,攻击并非只锁定单一漏洞,而是以组合方式逐一试探多个入口,从访问控制绕过、任意文件读取到远程程序代码执行都在扫描清单内。
而且这波ColdFusion活动其实只是更大规模扫描行动的一小部分,约占两个主力IP整体扫描量的0.2%。同一批基础设施累积送出超过250万次请求,尝试767个不同CVE,目标横跨47种以上技术堆栈,并使用近1万个Interactsh界外回呼域名。研究人员研判,这更像是一场有组织的漏洞侦察作业,可能与初始访问掮客(Initial Access Broker)的需求相符。
