Adobe ColdFusion все еще жив? Да, и его активно ломают (особенно по праздникам)
NewsMakerКоллективная беспечность стала поводом для масштабного кризиса.
В разгар рождественских праздников специалисты Greynoise зафиксировали масштабную кибератаку, целью которой стали уязвимые серверы Adobe ColdFusion. За короткий период было совершено более 2,5 миллиона вредоносных запросов, что позволило говорить о спланированной и технически сложной операции, затронувшей десятки различных технологий.
Основной удар пришёлся на десяток известных уязвимостей в Adobe ColdFusion. Зафиксировано около 6 тысяч прямых атак на эту платформу. Однако дальнейшее изучение показало, что масштабы атаки были куда шире. Два основных IP-адреса, зарегистрированных у японского провайдера CTG Server Limited, сгенерировали миллионы запросов, охватывающих почти 800 различных уязвимостей в 47 технологических стеках. В атаках использовалось около 10 тысяч уникальных доменов для проверки успешности проникновения.
Выбор времени оказался неслучайным. Около 68 процентов трафика пришлись именно на 25 декабря — день, когда большинство корпоративных команд безопасности работают в ограниченном режиме. Это свидетельствует о высокой осведомлённости злоумышленников о внутренних процессах в организациях и мониторинге безопасности.
Для проверки успешных взломов использовалась инфраструктура ProjectDiscovery Interactsh, позволившая в реальном времени отслеживать, какие системы удалось скомпрометировать. Это ускорило дальнейшие этапы атаки, включая возможное закрепление в сети и распространение.
В разгар рождественских праздников специалисты Greynoise зафиксировали масштабную кибератаку, целью которой стали уязвимые серверы Adobe ColdFusion. За короткий период было совершено более 2,5 миллиона вредоносных запросов, что позволило говорить о спланированной и технически сложной операции, затронувшей десятки различных технологий.
Основной удар пришёлся на десяток известных уязвимостей в Adobe ColdFusion. Зафиксировано около 6 тысяч прямых атак на эту платформу. Однако дальнейшее изучение показало, что масштабы атаки были куда шире. Два основных IP-адреса, зарегистрированных у японского провайдера CTG Server Limited, сгенерировали миллионы запросов, охватывающих почти 800 различных уязвимостей в 47 технологических стеках. В атаках использовалось около 10 тысяч уникальных доменов для проверки успешности проникновения.
Выбор времени оказался неслучайным. Около 68 процентов трафика пришлись именно на 25 декабря — день, когда большинство корпоративных команд безопасности работают в ограниченном режиме. Это свидетельствует о высокой осведомлённости злоумышленников о внутренних процессах в организациях и мониторинге безопасности.
Для проверки успешных взломов использовалась инфраструктура ProjectDiscovery Interactsh, позволившая в реальном времени отслеживать, какие системы удалось скомпрометировать. Это ускорило дальнейшие этапы атаки, включая возможное закрепление в сети и распространение.