TokyoBlackHatNews

esecurityplanet.com 5分で読了

休日の攻撃でAdobe ColdFusionなどに250万件の悪意あるリクエストが殺到

連携したエクスプロイト(脆弱性悪用)キャンペーンにより、250万件を超える悪意あるリクエストが生成され、Adobe ColdFusionサーバーに焦点を当てつつ、同時に他の広く利用されている数十のプラットフォームも探査されました。

「…クリスマス当日(トラフィックの68%)という意図的なタイミングは、セキュリティ監視が手薄になる期間を狙った意図的な標的化を示唆している」と、GreyNoise Labsの研究者は述べています

攻撃者は数百の脆弱性をスキャン

このキャンペーンは、主要な祝日における人員配置や監視の縮小といった予測可能な運用上の隙を、攻撃者が意図的に突くことを浮き彫りにしています。 

ColdFusionはより広範な作戦の一要素にすぎませんでしたが、レガシーな企業環境に存在していることから、依然として頻繁に標的となっています。

GreyNoiseのテレメトリによると、このキャンペーンはAdobe ColdFusionおよび少なくとも他の47のプラットフォームを標的にし、Web、Java、CMS、エンタープライズシステムに影響する767件のCVEにわたって悪用可能な条件をスキャンしました。 

攻撃のタイミングと地理的範囲

この作戦のColdFusionに特化したフェーズは、2023年から2024年に公開された10件以上の重大な脆弱性に焦点を当てていました。 

ColdFusion関連の攻撃トラフィックのおよそ68%は、2025年12月25日だけで発生しており、防御体制が手薄になる時期に合わせた意図的なタイミングを示唆しています。

合計で、アナリストは20カ国にわたってColdFusionを狙った5,940件のリクエストを観測しました。 

悪意あるトラフィックの大半は、134[.]122[.]136[.]119 と 134[.]122[.]136[.]96 の2つのIPアドレスから発生しており、いずれもCTG Server Limitedによってホスティングされていました。

ColdFusionのエクスプロイト連鎖の内側

ColdFusionへの攻撃では、WDDXのデシリアライズ欠陥を悪用してJNDIおよびLDAPインジェクションを誘発し、com.sun.rowset.JdbcRowSetImpl のガジェットチェーンを標的にしました。 

この悪用手法は、システムが未パッチのままである場合に実行の障壁が低く信頼性が高いことから、Javaエコシステムで繰り返し使用されてきました。

エクスプロイトの成功を検証するため、脅威アクターはアウト・オブ・バンドのアプリケーションセキュリティテスト基盤であるProjectDiscoveryのInteractshに大きく依存しました。 

oast[.]pro、oast[.]site、oast[.]me などのサービスにまたがって、約1万件のユニークなOASTドメインが展開され、完全なペイロードを投入せずともコールバックのやり取りを通じて脆弱なシステムを確認できるようにしていました。

ネットワークフィンガープリンティングにより、さらに4,118件のユニークなJA4H HTTPシグネチャが明らかになり、Nucleiのようなテンプレート駆動型スキャンフレームワークの使用が示されました。 

研究者は、フィンガープリントの多様性は反復的なテストと微調整を示しており、単発のエクスプロイト試行ではなく大規模に実施された偵察と整合すると示唆しました。

事後の侵害(post-exploitation)は確認されていないものの、これらの手法は、後続攻撃のためのアクセスを特定して収益化する目的で用いられる初期アクセスブローカーの活動と一致します。

組織が露出を減らす方法

攻撃者が大規模な自動スキャンを活用して脆弱なシステムを特定しているため、組織は露出を減らし検知を改善するために、先回りした対策を講じるべきです。

  • 特定された悪意あるIPアドレスおよび関連する自律システムをブロックし、既知の攻撃トラフィックを遮断する。
  • Adobe ColdFusionおよびその他の露出しているJavaベースのアプリケーションについて、パッチ適用を優先する。特にインターネットから到達可能なシステムを重視する。
  • 厳格なアクセス制御とネットワークセグメンテーションを徹底し、ColdFusionサーバーのインターネット露出を減らす。
  • JA4およびJA4Hフィンガープリントを識別して自動スキャン活動を検知・遮断するために、WAFルール、レート制限、検知シグネチャを展開する。
  • アプリケーションサーバーからの外向きネットワーク接続を制限し、コールバック型の悪用やC2(コマンド&コントロール)活動を防ぐ。
  • 過去および継続中のログを見直し、スキャンの兆候、悪用の試行、または異常なリクエストパターンを特定する。

これらの対策を組み合わせることで、露出を減らし、偵察を妨害し、悪用の試行による潜在的な影響を抑えるのに役立ちます。 

偵察優先型攻撃へのシフト

このキャンペーンは、即時の悪用よりも、大規模に悪用可能なシステムを特定することを優先する高ボリュームの自動偵察へと、より広い潮流が移っていることを示しています。 

長年放置されてきたレガシー脆弱性、最新のスキャンフレームワーク、そして休日のような慎重に選ばれたタイミングを組み合わせることで、攻撃者は企業環境を体系的にマッピングし、後続攻撃が開始されるはるか以前にアクセス機会を検証できます。

こうした偵察主導のキャンペーンは、タイムリーで一貫したパッチ管理が、攻撃者が大規模に特定・標的化できるシステム数を減らすうえで極めて重要である理由を浮き彫りにしています。

翻訳元: https://www.esecurityplanet.com/threats/2-5m-malicious-requests-hit-adobe-coldfusion-and-others-in-holiday-attack/

ソース: esecurityplanet.com
#Adobe ColdFusion #CVE #Interactsh(OAST) #JNDI/LDAPインジェクション #Nuclei #WDDXデシリアライゼーション #クリスマス攻撃 #パッチ管理 #大規模自動化攻撃 #脆弱性スキャン

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布