クリスマス休暇のさなか、Greynoiseの研究者は、脆弱なAdobe ColdFusionサーバーを標的とした大規模サイバー攻撃を検知しました。短期間のうちに250万件を超える悪意のあるリクエストが記録され、数十種類の異なる技術に影響を及ぼした、協調的かつ技術的に高度な作戦であることが示されています。
攻撃の初動は、Adobe ColdFusionにおけるおよそ1ダースの著名な脆弱性に焦点を当てており、約6,000件の直接的な悪用試行が観測されました。しかし、さらなる分析により、はるかに広範なキャンペーンであることが明らかになりました。日本のプロバイダーCTG Server Limitedに登録された2つの主要IPアドレスが、47種類の異なる技術スタックにまたがる約800件の個別脆弱性を探る数百万件のリクエストを生成していました。侵入の成功確認には約10,000のユニークなドメインが使用されました。
攻撃のタイミングは意図的でした。トラフィックの約68%が12月25日に発生しており、多くの企業のセキュリティチームが人員を減らして運用する日です。これは、組織の業務フローやセキュリティ監視の慣行に対する攻撃者の高い理解を示唆しています。
侵害の成功を確認するため、攻撃者はProjectDiscoveryのInteractshインフラを活用し、どのシステムが侵害されたかをリアルタイムで可視化しました。この機能により、影響を受けたネットワーク内での永続化やラテラルムーブメント(横展開)の可能性を含む、作戦の後続フェーズが加速しました。
特に、リモートコード実行の欠陥であるCVE-2023-26359のような重大な脆弱性が重視され、833回標的となりました。アクセス制御機構を回避できるCVE-2023-38205は654回の悪用試行が確認され、CVE-2023-44353は611件で悪用されました。主要な侵入手法は、WDDXデシリアライズ機構を介したJNDI/LDAPインジェクションであり、JdbcRowSetImplのガジェットチェーンを用いてリモートコード実行を引き起こしていました。
ColdFusionにとどまらず、このキャンペーンは、Javaアプリケーションサーバー、一般的なコンテンツ管理システム、Webフレームワーク、Atlassian製品、ネットワーク機器、映像監視システムなど、幅広い追加ターゲットへと拡大しました。Confluenceの脆弱性CVE-2022-26134だけでも、12,000件を超える悪用試行を集めました。長年知られているShellshockの欠陥(CVE-2014-6271)でさえ見落とされず、8,500回以上悪用されました。
攻撃インフラは、自律システムAS152194内にホストされており、香港登録の企業CTG Server Limitedが運用しています。同社は過去にもフィッシングキャンペーンやスパム運用に関する調査で浮上しています。そのネットワーク内で研究者は、高級ブランドを狙った攻撃に関連付けられたFUNNULL CDNインフラを特定しており、悪用対策の弱さとIPアドレス空間の急速な拡大を示しています。
ColdFusionを運用する組織は、CVE-2023-26359およびCVE-2023-38205を含む脆弱性を修正するため、できるだけ早くセキュリティアップデートを適用するよう強く求められます。加えて、監視システムは、JNDIインジェクションの試行、不審なコールバックドメイン、攻撃者に関連する特徴的なネットワークフィンガープリントを検知できるよう設定すべきです。継続的な脆弱性スキャンと、新たな悪用試行の厳格な追跡は、効果的な防御の重要な柱であり続けます。
