-
09/04/2020
-
122
-
1.453 bài viết
Hơn 2,5 triệu yêu cầu tấn công dồn dập nhắm vào máy chủ Adobe ColdFusion dịp lễ
Trong kỳ nghỉ Giáng sinh 2025, các máy chủ Adobe ColdFusion trên toàn cầu đã trở thành mục tiêu của một chiến dịch khai thác quy mô lớn với hơn 2,5 triệu yêu cầu độc hại được gửi đi chỉ trong thời gian ngắn. Theo nghiên cứu của các chuyên gia, đây là một chiến dịch có tổ chức được triển khai có chủ đích vào thời điểm nhiều doanh nghiệp nới lỏng giám sát an ninh.
Đáng chú ý, 68% lưu lượng tấn công tập trung đúng ngày Giáng sinh. Toàn bộ chiến dịch được thực hiện chủ yếu từ hai địa chỉ IP đặt tại hạ tầng của CTG Server Limited nhắm vào hơn 10 lỗ hổng ColdFusion công bố trong giai đoạn 2023 - 2024.
Đáng chú ý, 68% lưu lượng tấn công tập trung đúng ngày Giáng sinh. Toàn bộ chiến dịch được thực hiện chủ yếu từ hai địa chỉ IP đặt tại hạ tầng của CTG Server Limited nhắm vào hơn 10 lỗ hổng ColdFusion công bố trong giai đoạn 2023 - 2024.
Kẻ tấn công sử dụng kỹ thuật chèn JNDI/LDAP thông qua lỗi giải tuần tự WDDX, chiếm tới 80% payload quan sát được. Chuỗi gadget JdbcRowSetImpl được khai thác để kích hoạt thực thi mã từ xa (RCE). Ngoài ra, các kỹ thuật đọc file trái phép như truy cập /etc/passwd hay password.properties cũng được sử dụng để thu thập thông tin nhạy cảm.
Để xác nhận khai thác thành công, tin tặc sử dụng công cụ Interactsh tạo ra 190 tên miền callback khác nhau cho thấy mức độ tự động hóa và chuyên nghiệp cao. Hơn 20 quốc gia bị ảnh hưởng trong đó Mỹ chiếm tỷ lệ lớn nhất.
Đáng lo ngại, các cuộc tấn công nhắm vào ColdFusion chỉ là một phần rất nhỏ trong hoạt động của nhóm tin tặc đứng sau chiến dịch này. Ngoài ColdFusion, nhóm này còn quét hàng trăm lỗ hổng khác trên nhiều loại phần mềm và hệ thống khác nhau. Điều đó cho thấy chúng không tấn công ngay lập tức mà chủ yếu đi tìm các hệ thống yếu để chiếm quyền truy cập, sau đó bán hoặc chuyển lại cho những nhóm tấn công khác tiếp tục khai thác.
Các lỗ hổng ColdFusion bị nhắm tới nhiều nhất
CVE ID | Loại lỗ hổng | Số yêu cầu | Mức độ ảnh hưởng |
|---|---|---|---|
CVE-2023-26359 | Deserialization RCE (thực thi mã từ xa qua lỗi giải tuần tự) | 833 | Nghiêm trọng |
CVE-2023-38205 | Vượt qua cơ chế kiểm soát truy cập (Access Control Bypass) | 654 | Cao |
CVE-2023-44353 | Thực thi mã từ xa | 611 | Nghiêm trọng |
CVE-2023-38203 | Thực thi mã từ xa | 346 | Nghiêm trọng |
CVE-2023-38204 | Thực thi mã từ xa | 346 | Nghiêm trọng |
CVE-2023-29298 | Vượt qua cơ chế kiểm soát truy cập | 342 | Cao |
CVE-2023-29300 | Thực thi mã từ xa | 176 | Nghiêm trọng |
CVE-2023-26347 | Vượt qua cơ chế kiểm soát truy cập | 171 | Cao |
CVE-2024-20767 | Đọc tệp tin tùy ý (Arbitrary File Read) | 146 | Cao |
CVE-2023-44352 | Reflected XSS (XSS phản chiếu) | 8 | Trung bình |
Theo Cyber Press