Разыгрываем три Flipper Zero и три Raspberry Pi 5
Image

ФЛИППЕР ИЛИ МАЛИНКА?

Подпишись на каналы и выиграй один из шести топовых девайсов для своих ИТ-проектов в новом году!

Adobe ColdFusion все еще жив? Да, и его активно ломают (особенно по праздникам)

Adobe ColdFusion CTG Server Limited Greynoise Interactsh JNDI уязвимости
Adobe ColdFusion все еще жив? Да, и его активно ломают (особенно по праздникам)
Adobe ColdFusion CTG Server Limited Greynoise Interactsh JNDI уязвимости

Коллективная беспечность стала поводом для масштабного кризиса.

image

В разгар рождественских праздников специалисты Greynoise зафиксировали масштабную кибератаку, целью которой стали уязвимые серверы Adobe ColdFusion. За короткий период было совершено более 2,5 миллиона вредоносных запросов, что позволило говорить о спланированной и технически сложной операции, затронувшей десятки различных технологий.

Основной удар пришёлся на десяток известных уязвимостей в Adobe ColdFusion. Зафиксировано около 6 тысяч прямых атак на эту платформу. Однако дальнейшее изучение показало, что масштабы атаки были куда шире. Два основных IP-адреса, зарегистрированных у японского провайдера CTG Server Limited, сгенерировали миллионы запросов, охватывающих почти 800 различных уязвимостей в 47 технологических стеках. В атаках использовалось около 10 тысяч уникальных доменов для проверки успешности проникновения.

Выбор времени оказался неслучайным. Около 68 процентов трафика пришлись именно на 25 декабря — день, когда большинство корпоративных команд безопасности работают в ограниченном режиме. Это свидетельствует о высокой осведомлённости злоумышленников о внутренних процессах в организациях и мониторинге безопасности.

Для проверки успешных взломов использовалась инфраструктура ProjectDiscovery Interactsh, позволившая в реальном времени отслеживать, какие системы удалось скомпрометировать. Это ускорило дальнейшие этапы атаки, включая возможное закрепление в сети и распространение.

Особое внимание было уделено критическим уязвимостям, таким как CVE-2023-26359, связанная с удалённым выполнением кода, которую атаковали 833 раза. Уязвимость CVE-2023-38205, позволяющая обойти механизмы контроля доступа, зафиксировала 654 попытки эксплуатации. А ещё одна — CVE-2023-44353 — использовалась в 611 случаях. Основной метод проникновения включал JNDI/LDAP-инъекцию через механизм десериализации WDDX, с применением цепочки JdbcRowSetImpl для запуска удалённого кода.

Помимо ColdFusion, атака охватила множество других целей: Java-серверы приложений, популярные CMS, веб-фреймворки, продукты Atlassian, сетевые устройства и системы видеонаблюдения. Только уязвимость в Confluence CVE-2022-26134 получила более 12 тысяч запросов. Даже устаревшая Shellshock (CVE-2014-6271) не осталась без внимания — её эксплуатировали более 8,5 тысячи раз.

Инфраструктура атак размещалась на автономной системе AS152194, принадлежащей зарегистрированной в Гонконге компании CTG Server Limited, которая уже фигурировала в расследованиях по фишинговым кампаниям и спам-операциям. В её сети была обнаружена инфраструктура FUNNULL CDN, связанная с атаками на бренды класса люкс, что указывает на слабый контроль за злоупотреблениями и стремительное расширение IP-пространства.

Тем, кто использует ColdFusion, необходимо как можно скорее установить обновления для устранения уязвимостей, включая CVE-2023-26359 и CVE-2023-38205. Кроме того, важно настроить системы мониторинга на обнаружение JNDI-инъекций, подозрительных доменов обратной связи и характерных сетевых отпечатков злоумышленников. Постоянное сканирование инфраструктуры на наличие уязвимостей и отслеживание новых попыток эксплуатации остаются ключевыми задачами для защиты.