Lỗ hổng CVE: Chiến dịch tấn công ColdFusion nghiêm trọng

30/12/2025
3 mins read
Lỗ hổng CVE: Chiến dịch tấn công ColdFusion nghiêm trọng

Một chiến dịch khai thác phối hợp đã tạo ra hơn 2.5 triệu yêu cầu độc hại nhắm vào máy chủ Adobe ColdFusion và hơn 47 nền tảng công nghệ khác trong giai đoạn nghỉ lễ Giáng sinh 2025. Chiến dịch này tận dụng nhiều lỗ hổng CVE nghiêm trọng, cho thấy nỗ lực quét tìm kiếm các lỗ hổng cả cũ và mới trong suốt 20 năm.

Nội dung
Phân Tích Chiến Dịch Khai Thác Adobe ColdFusion
Tổng Quan Về Hoạt Động Tấn Công
Thời Điểm Và Mục Tiêu
Hạ Tầng Tấn Công
Kỹ Thuật Khai Thác Chính
Các Lỗ Hổng CVE Bị Nhắm Mục Tiêu
Trọng Tâm ColdFusion
Phạm Vi Rộng Hơn
Chỉ Số Nhận Diện Sự Thỏa Hiệp (IOCs)
Địa Chỉ IP Độc Hại
Tên Miền OAST
Chữ Ký HTTP JA4H
Phản Ứng Và Khuyến Nghị Bảo Mật
Hành Động Khẩn Cấp
Chiến Lược Phòng Ngừa Dài Hạn

Phân Tích Chiến Dịch Khai Thác Adobe ColdFusion

Tổng Quan Về Hoạt Động Tấn Công

Hoạt động này được quy cho một tác nhân đe dọa duy nhất, vận hành từ hạ tầng có liên quan đến một khu vực địa lý nhất định. Điều này chỉ ra một nỗ lực quét tinh vi của những kẻ tấn công nhằm tìm kiếm các lỗ hổng bảo mật.

Chiến dịch này đặc biệt tập trung vào giai đoạn khai thác ColdFusion, đã sử dụng hơn 10 lỗ hổng CVE nghiêm trọng từ năm 2023–2024.

Thời Điểm Và Mục Tiêu

Hoạt động cao điểm diễn ra vào đúng ngày Giáng sinh, chiếm 68% tổng lưu lượng tấn công. Việc lựa chọn thời điểm cố ý này, trùng với thời gian nghỉ lễ khi các đội ngũ bảo mật thường hoạt động với công suất giảm, cho thấy mục tiêu nhắm vào các khoảng trống giám sát.

Khoảng 5,940 yêu cầu đã nhắm mục tiêu vào các máy chủ ColdFusion trên 20 quốc gia, trong đó 68% các phiên tấn công tập trung vào Hoa Kỳ.

Hạ Tầng Tấn Công

Hai địa chỉ IP chính (134.122.136.119134.122.136.96), được lưu trữ bởi CTG Server Limited, đã tạo ra phần lớn lưu lượng tấn công. Kẻ tấn công đã sử dụng ProjectDiscovery Interactsh, một nền tảng kiểm thử out-of-band, để xác minh các phản hồi.

Gần 10,000 tên miền OAST (Out-of-Band Application Security Testing) độc đáo đã được triển khai thông qua các dịch vụ oast.pro, oast.siteoast.me. Hạ tầng của kẻ tấn công có liên quan đến các hoạt động đáng ngờ: CTG Server Limited trước đây từng lưu trữ hạ tầng lừa đảo nhắm vào các thương hiệu xa xỉ.

Các tuyến đường Bogon được công bố bởi hạ tầng này cũng cho thấy sự kém vệ sinh mạng.

Kỹ Thuật Khai Thác Chính

Vector tấn công chính đã khai thác lỗ hổng deserialization của WDDX để kích hoạt JNDI/LDAP injection. Mục tiêu là chuỗi gadget com.sun.rowset.JdbcRowSetImpl. Đáng chú ý, hoạt động nhắm vào ColdFusion chỉ chiếm 0.2% trong tổng thể chiến dịch tấn công mạng rộng lớn này.

Các Lỗ Hổng CVE Bị Nhắm Mục Tiêu

Trọng Tâm ColdFusion

Giai đoạn tập trung vào ColdFusion của chiến dịch đã khai thác hơn 10 lỗ hổng CVE nghiêm trọng từ năm 2023–2024. Một ví dụ về lỗ hổng CVE tiềm năng bị khai thác trong các phiên bản ColdFusion gần đây là CVE-2023-29300, một lỗ hổng deserialization of untrusted data trong Adobe ColdFusion.

Phạm Vi Rộng Hơn

Phân tích chiến dịch toàn diện cho thấy quá trình trinh sát có hệ thống, nhắm mục tiêu vào 767 lỗ hổng CVE riêng biệt ảnh hưởng đến:

  • Máy chủ ứng dụng Java
  • Framework web
  • Nền tảng CMS
  • Ứng dụng doanh nghiệp

Các lỗ hổng CVE bị nhắm mục tiêu thường xuyên nhất bao gồm:

Phân tích dấu vân tay mạng đã xác định 4,118 chữ ký HTTP JA4H độc đáo, cho thấy việc quét dựa trên mẫu có thể đã được thực hiện bằng cách sử dụng Nuclei hoặc các framework tương tự.

Chỉ Số Nhận Diện Sự Thỏa Hiệp (IOCs)

Các chỉ số nhận diện sự thỏa hiệp (IOCs) sau đây đã được xác định liên quan đến chiến dịch này, giúp các tổ chức phát hiện và ứng phó với các cuộc xâm nhập tiềm năng.

Địa Chỉ IP Độc Hại

Các địa chỉ IP được sử dụng để phát động các yêu cầu độc hại:

  • 134.122.136.119
  • 134.122.136.96

Tên Miền OAST

Các tên miền được sử dụng cho việc xác minh phản hồi out-of-band thông qua ProjectDiscovery Interactsh:

  • oast.pro
  • oast.site
  • oast.me

Để biết thêm chi tiết về Interactsh, có thể tham khảo trang GitHub chính thức.

Chữ Ký HTTP JA4H

Chữ ký HTTP duy nhất có thể được sử dụng để phát hiện các mẫu quét từ kẻ tấn công:

(Tổng số 4,118 chữ ký JA4H độc đáo, ví dụ cụ thể không được cung cấp trong nội dung gốc)

Phản Ứng Và Khuyến Nghị Bảo Mật

Để giảm thiểu rủi ro từ chiến dịch này và các mối đe dọa tương tự, các tổ chức cần thực hiện ngay lập tức các biện pháp bảo mật.

Hành Động Khẩn Cấp

Theo phân tích từ GreyNoise Labs, các tổ chức nên thực hiện các hành động sau:

  • Chặn ngay lập tức các địa chỉ IP và ASNs đã xác định.
  • Triển khai các chữ ký cho các dấu vân tay JA4+ đã được công bố.
  • Ưu tiên cập nhật bản vá cho hạ tầng ColdFusionJava-based.

Chiến Lược Phòng Ngừa Dài Hạn

Quy mô và sự tinh vi của chiến dịch cho thấy khả năng trinh sát nâng cao, điển hình của các nhà môi giới truy cập ban đầu đang chuẩn bị cho các cuộc tấn công tiếp theo. Việc duy trì một chiến lược bảo mật chủ động là rất quan trọng.

Các biện pháp phòng ngừa bao gồm việc liên tục giám sát, cập nhật bản vá các lỗ hổng CVE mới nhất, và tăng cường hệ thống phát hiện xâm nhập để đối phó với các mối đe dọa dai dẳng và phức tạp.