251 Amazon tarafından barındırılan IPS, ColdFusion, Struts ve Elasticsearch hedefleyen istismar taramasında kullanılan IP’ler

   Mayıs 28, 2025  Posted in TheHackerNews


28 Mayıs 2025Ravie LakshmananAğ Güvenliği / Güvenlik Açığı

Siber güvenlik araştırmacıları, bu ayın başlarında 75 farklı “pozlama noktası” hedefleyen koordineli bir bulut tabanlı tarama etkinliğinin ayrıntılarını açıkladılar.

Grinnoise tarafından 8 Mayıs 2025’te gözlemlenen etkinlik, hepsi Japonya’ya yerleşmiş ve Amazon tarafından düzenlenen 251 kadar kötü niyetli IP adresi içeriyordu.

Tehdit istihbarat firması, “Bu IP’ler, CVE istismarları, yanlış konfigürasyon probları ve kira aktivitesi dahil olmak üzere 75 farklı davranışı tetikledi.” Dedi. “Tüm IP’ler dalgalanmadan önce ve sonra sessizdi ve tek bir operasyon için geçici altyapı kiralamasını gösterdi.”

Siber güvenlik

Tarama çabalarının Adobe Coldfusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch ve Oracle Weblogic’ten çok çeşitli teknolojileri hedeflediği bulundu.

Fırsatçı operasyon, bilinen CVV’lerin sömürü girişimlerinden yanlış yapılandırmalar için problara ve web altyapısındaki diğer zayıf noktalardan değişiyordu ve bu da tehdit aktörlerinin herhangi bir duyarlı sistem için ayrım gözetmeden aradığını gösteriyor.

  • Adobe Coldfusion-CVE-2018-15961 (Uzak Kod Yürütme)
  • Apache Struts-CVE-2017-5638 (OGNL enjeksiyonu)
  • Atlassian Confluence-CVE-2022-26134 (OGNL enjeksiyonu)
  • Bash-CVE-2014-6271 (Shellshock)
  • Elasticsearch-CVE-2015-1427 (Groovy Sandbox Bypass ve Uzak Kod Yürütme)
  • CGI komut dosyası taraması
  • Çevre değişkenine maruz kalma
  • Git yapılandırma tarayıcıları
  • Kabuk yükleme yükleri ve
  • WordPress Yazar Kontrolleri
Siber güvenlik

İlginç bir husus, geniş spektrumlu taramanın sadece 8 Mayıs’ta aktif olması ve tarihten önce veya sonra etkinlikte fark edilir bir değişiklik olmasıdır.

Grinnoise, 295 IP adresinin CVE-2018-15961, Apache Struts için 265 IP’si ve CVE-2015-1427 için 260 IPS için tarandığını söyledi. Bunlardan 262 IP, Coldfusion ve Struts arasında örtüştü ve 251 IP, üç güvenlik açığı taramasının hepsinde örtüştü.

Geynoise, “Bu örtüşme seviyesi, birçok geçici IP’ye yerleştirilen tek bir operatöre veya araç setine işaret ediyor – fırsatçı ama orkestra taramasında giderek daha yaygın bir model.” Dedi.

Etkinliği azaltmak için, kuruluşların kötü amaçlı IP adreslerini hemen engellemesi gerekmektedir, ancak takip sömürüsünün farklı altyapılardan kaynaklanabileceğini belirtmektedir.

Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link