251 个亚马逊托管 IP 被用于针对 ColdFusion、Struts 和 Elasticsearch 的漏洞扫描攻击

发布时间：2025-12-07 21:16:05 作者：玩站小弟

网络安全研究人员近日披露了一起针对75个不同"暴露点"的云端协同扫描活动细节。该活动由威胁情报公司GreyNoise于2025年5月8日发现，涉及251个恶意IP地址，这些IP均位于日本并由亚马逊云服。

网络安全研究人员近日披露了一起针对75个不同"暴露点"的个亚攻击云端协同扫描活动细节。该活动由威胁情报公司GreyNoise于2025年5月8日发现，马逊涉及251个恶意IP地址，托管这些IP均位于日本并由亚马逊云服务托管。高防服务器被用

扫描活动技术特征

GreyNoise表示："这些IP触发了75种不同的于针行为模式，包括CVE漏洞利用、漏洞配置错误探测和侦察活动。免费模板扫描所有IP在流量激增前后均保持静默，个亚攻击表明这是马逊为单次行动租用的临时基础设施。模板下载"

扫描目标涵盖多项主流技术：

Adobe ColdFusion — CVE-2018-15961（远程代码执行）Apache Struts — CVE-2017-5638（OGNL注入）Atlassian Confluence — CVE-2022-26134（OGNL注入）Bash — CVE-2014-6271（Shellshock漏洞）Elasticsearch — CVE-2015-1427（Groovy沙箱绕过及远程代码执行）CGI脚本扫描环境变量暴露探测Git配置爬取Shell上传检测WordPress作者信息检查攻击模式分析

值得注意的托管是，这次广谱扫描仅在5月8日当天活跃，服务器租用被用前后均未观察到明显活动。于针数据显示：

295个IP扫描了ColdFusion漏洞CVE-2018-15961265个IP扫描了Apache Struts260个IP扫描了Elasticsearch漏洞CVE-2015-1427 其中262个IP同时扫描了ColdFusion和Struts，漏洞251个IP参与了全部三项漏洞扫描。扫描

GreyNoise分析指出："这种高度重叠表明存在单一操作者或工具集通过大量临时IP进行部署——这在机会性但组织化的亿华云个亚攻击扫描中已成为常见模式。"

防护建议

企业应立即封禁相关恶意IP地址。但需注意，后续攻击可能来自不同基础设施。香港云服务器建议同时加强以下防护措施：

及时修补列出的所有CVE漏洞检查系统是否存在配置错误监控异常扫描行为对关键系统实施网络访问控制

Tag：

威胁预警！黑客正在滥用微软 Graph API 与C&C“隐蔽通信”
如今，越来越多黑客开始利用微软图形应用程序接口Graph API）逃避安全检测。博通公司旗下的赛门铁克威胁猎人团队在一份报告中提到，这样做是为了方便与托管在微软云服务上的命令与控制C&C）基础
2025-12-07
Windows KDC 曝代理 RCE 漏洞：攻击者可远程控制服务器
安全研究人员近日在微软的Windows密钥分发中心KDC）代理中发现了一个严重的远程代码执行漏洞CVE-2024-43639），攻击者可能利用该漏洞完全控制受影响的服务器。该漏洞源于KDC代理服务中缺
2025-12-07
SUSE发布重要补丁：保护系统免受CVE-2025-21613攻击
SUSE近日发布针对Amazon Systems ManagerSSM）Agent的重要安全更新，解决了“go-git”库中的严重漏洞CVE-2025-21613。该漏洞可能允许攻击者在特定情况下篡改
2025-12-07
AI驱动新一轮社交工程攻击：该如何应对？
社交工程攻击长期以来一直是一种有效的策略，因为它专注于利用人类的弱点。它不需要暴力破解密码，也不需要寻找未修补的软件漏洞。相反，它只是通过操纵信任、恐惧和对权威的尊重等情感，来获取敏感信息或访问受保护
2025-12-07
人机合智：安全运营中的人工智能
大多数商业人工智能的成功都与有监督机器学习ML有关。例如智能家居助手对口语的理解，自动驾驶汽车的物体识别，都利用了训练复杂的深度学习模型所需的大量标记数据和计算。但在网络安全领域，AI虽然可以用来提高
2025-12-07
2025年首个Android更新修复严重代码执行漏洞
今年第一批 Android 每月安全更新解决了 36 个漏洞，其中包括严重的远程代码执行漏洞。谷歌周一宣布了 2025 年首批 Android 安全更新，其中包括针对 36 个漏洞的补丁，其中包括系统
2025-12-07