セキュリティ研究者は、2025年のクリスマス休暇期間中に脅威アクターが脆弱なシステムに対して250万件を超える悪意あるリクエストを送信した、大規模で協調的なエクスプロイトキャンペーンを発見しました。
このキャンペーンは、Adobe ColdFusionサーバーを標的にしつつ、約800件の脆弱性にまたがる46の追加テクノロジースタックも対象とした、高度で多面的な初期アクセスブローカー(IAB)運用を示しています。
主な攻撃波は10件以上のAdobe ColdFusionのCVEに集中しており、研究者はColdFusionインフラに対する直接リクエストを6,000件弱確認しました。
しかし、より深い分析により真の規模が明らかになりました。日本拠点のホスティングプロバイダーCTG Server Limitedから運用される2つの主要IPアドレスが、767種類のCVEにわたって250万件超のリクエストを生成し、攻撃検証のために約1万件のユニークなコールバックドメインを活用していました。
脅威アクターは最大の効果を狙って意図的にタイミングを合わせ、セキュリティチームが通常より少人数体制になりがちなクリスマス当日に攻撃トラフィックの68%を集中させました。
この意図的なタイミングは、企業のセキュリティ監視サイクルに関する運用知識を持つ高度な脅威アクターの存在を示唆します。
攻撃者はProjectDiscovery Interactshのアウトオブバンド(OOB)コールバック基盤を用いて、エクスプロイト試行の成功をリアルタイムで検証し、追撃侵害に適した脆弱システムを迅速に特定できるようにしていました。
このキャンペーンは、ColdFusionに影響するCVE-2023-26359(デシリアライゼーションRCE)を含む重大な脆弱性を悪用しており、同CVEには833回のエクスプロイト試行が確認されました。
アクセス制御バイパスであるCVE-2023-38205は654回標的となり、CVE-2023-44353は611件のリクエストを引き起こしました。
主な攻撃ベクトルは、WDDXデシリアライゼーションを介したJNDI/LDAPインジェクションで、JdbcRowSetImplのガジェットチェーンを悪用してリモートコード実行を誘発しました。
ColdFusionにとどまらず、このキャンペーンは企業インフラ全体に対する体系的な偵察を示しています。
Greynoiseの研究者は特定したところ、4,118件のユニークなHTTPフィンガープリントと、Javaアプリケーションサーバー、Webフレームワーク、CMSプラットフォーム、Atlassian製品、ネットワーク機器、監視システムへの標的化が確認されました。
ConfluenceのOGNL脆弱性CVE-2022-26134だけで12,481件のリクエストを受け、旧来のShellshock脆弱性CVE-2014-6271は8,527回の試行を引き起こしました。
脅威アクターはAS152194(CTG Server Limited)から活動しており、同社は香港登録のホスティングプロバイダーで、フィッシング基盤やスパム運用との関連が文書化されています。
セキュリティ研究者は、このネットワークが高級ブランドを標的とするFUNNULL CDNインフラをホストしていることを特定しました。悪用の履歴と急速なIP空間の取得という組み合わせは、悪用に対する取り締まりメカニズムが限定的であることを示唆します。
Adobe ColdFusionサーバーを運用する組織は、CVE-2023-26359、CVE-2023-38205、および関連する脆弱性に対するセキュリティパッチを直ちに適用すべきです。
セキュリティチームは、JNDIインジェクションのペイロード、OASTコールバックドメイン、特定された脅威アクターのIPアドレス、およびJA4+のネットワークフィンガープリントに対するネットワークベースの検知を実装すべきです。
継続的な脆弱性スキャンと、エクスプロイト試行パターンの監視は、引き続き重要な防御上の優先事項です。
