サイバーセキュリティ研究者は、今月初めに75の異なる「露出ポイント」を標的とした、クラウドベースのスキャン活動の詳細を明らかにしました。
この活動は、2025年5月8日にGreyNoiseによって観測され、すべて日本に位置し、Amazonによってホストされている251の悪意のあるIPアドレスが関与していました。
「これらのIPは、CVEエクスプロイト、誤設定プローブ、リコン活動を含む75の異なる行動を引き起こしました」と脅威インテリジェンス企業は述べています。「すべてのIPは急増の前後に静かであり、単一の操作のための一時的なインフラストラクチャのレンタルを示しています。」
スキャンの努力は、Adobe ColdFusion、Apache Struts、Apache Tomcat、Drupal、Elasticsearch、Oracle WebLogicなど、幅広い技術を標的としていることが判明しました。
この機会主義的な操作は、既知のCVEのエクスプロイト試行から、誤設定やWebインフラストラクチャの他の弱点のプローブまでに及び、脅威アクターが無差別に脆弱なシステムを探していたことを示しています。
- Adobe ColdFusion — CVE-2018-15961(リモートコード実行)
- Apache Struts — CVE-2017-5638(OGNLインジェクション)
- Atlassian Confluence — CVE-2022-26134(OGNLインジェクション)
- Bash — CVE-2014-6271(Shellshock)
- Elasticsearch — CVE-2015-1427(Groovyサンドボックスバイパスとリモートコード実行)
- CGIスクリプトスキャン
- 環境変数の露出
- Git設定クローラー
- シェルアップロードチェック、および
- WordPress著者チェック
興味深い点は、この広範なスキャンが5月8日にのみアクティブであり、その前後に活動の顕著な変化がなかったことです。
GreyNoiseは、CVE-2018-15961のために295のIPアドレスがスキャンされ、Apache Strutsのために265のIP、CVE-2015-1427のために260のIPがスキャンされたと述べました。これらの中で、262のIPがColdFusionとStrutsの間で重複し、251のIPが3つの脆弱性スキャン全体で重複しました。
「このレベルの重複は、多くの一時的なIPにわたって展開された単一のオペレーターまたはツールセットを示しており、機会主義的ではあるが組織的なスキャンの中でますます一般的なパターンです」とGreyNoiseは述べました。
活動を緩和するために、組織は悪意のあるIPアドレスを直ちにブロックする必要がありますが、後続のエクスプロイトが異なるインフラストラクチャから発生する可能性があることに注意する必要があります。
翻訳元: https://thehackernews.com/2025/05/251-amazon-hosted-ips-used-in-exploit.html