Güvenlik araştırmacıları, 2025 Noel tatili döneminde tehdit aktörlerinin savunmasız sistemlere karşı 2,5 milyondan fazla kötü amaçlı istek başlattığı, büyük bir koordineli istismar kampanyasını ortaya çıkardı.
Kampanya, yaklaşık 800 güvenlik açığına yönelik 46 ek teknoloji yığınının yanı sıra Adobe ColdFusion sunucularını hedef alan gelişmiş, çok yönlü bir ilk erişim aracısı operasyonunu temsil ediyor.
Birincil saldırı dalgası 10’dan fazla Adobe ColdFusion CVE’sine odaklandı ve araştırmacılar ColdFusion altyapısına yönelik 6.000’in biraz altında doğrudan talep tespit etti.
Ancak daha derin analizler gerçek kapsamı ortaya çıkardı: Japonya merkezli barındırma sağlayıcısı CTG Server Limited’den çalışan iki birincil IP adresi, saldırı doğrulaması için yaklaşık 10.000 benzersiz geri arama alanından yararlanarak 767 farklı CVE’de 2,5 milyondan fazla istek oluşturdu.
Tehdit aktörleri, saldırı trafiğinin yüzde 68’ini, güvenlik ekiplerinin genellikle düşük kapasiteyle çalıştığı Noel Günü’nde yoğunlaştırarak kampanyayı kasıtlı olarak maksimum etkiyi sağlayacak şekilde zamanladı.
Bu kasıtlı zamanlama, kurumsal güvenlik izleme döngülerine ilişkin operasyonel bilgiye sahip, gelişmiş bir tehdit aktörünün varlığına işaret ediyor.
Saldırganlar, başarılı istismar girişimlerini gerçek zamanlı olarak doğrulamak için ProjectDiscovery Interactsh’in bant dışı geri arama altyapısını kullandı ve bu sayede, takip güvenliği ihlallerine uygun savunmasız sistemlerin hızlı bir şekilde tanımlanması sağlandı.
Kampanya, ColdFusion’ı etkileyen ve 833 yararlanma girişimiyle karşılaşan bir seri durumdan çıkarma RCE’si olan CVE-2023-26359 dahil olmak üzere kritik güvenlik açıklarından yararlandı.
Bir erişim kontrolü bypass’ı olan CVE-2023-38205 654 kez hedeflenirken, CVE-2023-44353 611 isteği tetikledi.
Birincil saldırı vektörü, uzaktan kod yürütmeyi tetiklemek için JdbcRowSetImpl aygıt zincirinden yararlanarak WDDX seri durumdan çıkarma yoluyla JNDI/LDAP enjeksiyonunu kullandı.
Kampanya, ColdFusion’ın ötesinde, kurumsal altyapı genelinde metodik bir keşif sergiliyor.
Greynoise’daki araştırmacılar, Java uygulama sunucularını, web çerçevelerini, CMS platformlarını, Atlassian ürünlerini, ağ cihazlarını ve gözetim sistemlerini hedef alan 4.118 benzersiz HTTP parmak izi tespit etti.
Confluence OGNL güvenlik açığı CVE-2022-26134 tek başına 12.481 istek alırken, eski Shellshock güvenlik açığı CVE-2014-6271 8.527 denemeyi tetikledi.
Tehdit aktörleri, kimlik avı altyapısı ve spam operasyonlarıyla belgelenmiş ilişkileri olan, Hong Kong’a kayıtlı bir barındırma sağlayıcısı olan AS152194’ten (CTG Server Limited) faaliyet gösteriyordu.
Güvenlik araştırmacıları, ağın lüks markaları hedefleyen FUNNULL CDN altyapısına ev sahipliği yaptığını belirledi. Kötüye kullanım geçmişi ve hızlı IP alanı ediniminin bu birleşimi, sınırlı kötüye kullanım uygulama mekanizmalarına işaret etmektedir.
Adobe ColdFusion sunucularını çalıştıran kuruluşlar, CVE-2023-26359, CVE-2023-38205 ve ilgili güvenlik açıklarına yönelik güvenlik yamalarını derhal uygulamalıdır.
Güvenlik ekipleri, JNDI enjeksiyon yükleri, OAST geri çağırma etki alanları ve belirlenen tehdit aktörü IP adresleri ile JA4+ ağ parmak izleri için ağ tabanlı algılama uygulamalıdır.
Sürekli güvenlik açığı taraması ve istismar girişimi modellerinin izlenmesi, kritik savunma öncelikleri olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.