One Day 251 IPs 75 Targets.
251 عنوان IP مستضاف على Amazon استخدم في مسح استغلالي استهدف ColdFusion وStruts وElasticsearch
كشف باحثو الأمن السيبراني عن تفاصيل نشاط مسح منسق قائم على السحابة استهدف 75 نقطة ضعف مختلفة في وقت سابق من هذا الشهر.
رُصد هذا النشاط بواسطة GreyNoise في 8 مايو 2025، وتضمن ما يصل إلى 251 عنوان IP ضار، جميعها جُغرفيًا تعود لليابان ومستضافة على خوادم Amazon.
وفقًا لتقرير الشركة الاستخباراتية: "هذه العناوين نفذت 75 سلوكًا مختلفًا، من استغلال الثغرات الأمنية، واختبارات سوء التهيئة، إلى أنشطة الاستطلاع. وكانت هذه العناوين خاملة قبل وبعد هذا النشاط، ما يشير إلى تأجير بنية تحتية مؤقتة لغرض عملية واحدة فقط."
أهداف الهجوم
استهدفت هذه العمليات عددًا واسعًا من الأنظمة والتقنيات، من بينها:
- Adobe ColdFusion — الثغرة CVE-2018-15961 (تنفيذ أوامر عن بُعد)
- Apache Struts — الثغرة CVE-2017-5638 (حقن OGNL)
- Atlassian Confluence — الثغرة CVE-2022-26134
- Bash — الثغرة CVE-2014-6271 (Shellshock)
- Elasticsearch — الثغرة CVE-2015-1427 (تجاوز الحماية وتنفيذ أوامر عن بُعد)
كما شملت الأنشطة:
- البحث عن ملفات CGI
- استكشاف متغيرات البيئة المكشوفة
- فحص ملفات إعداد Git
- محاولات رفع Shell
- اختبارات للكشف عن مؤلفي WordPress
ملاحظة حول النشاط
اللافت أن هذا النشاط لم يُسجَّل قبله أو بعده أي نشاط مشابه، ما يدعم فرضية أن العملية تمت خلال فترة محددة فقط في 8 مايو.
ذكر التقرير أن:
- 295 عنوان IP استُخدم لمسح ثغرة ColdFusion
- 265 عنوان IP لمسح Apache Struts
- 260 عنوان IP لمسح Elasticsearch
ومن بين هذه العناوين، تداخل 262 عنوانًا بين ColdFusion وStruts، و251 عنوانًا بين جميع الثغرات الثلاث، مما يشير إلى استخدام أداة واحدة أو مشغل موحد نشر البنية التحتية المؤقتة لتنفيذ عملية واحدة واسعة النطاق.
التوصيات.
لتخفيف المخاطر، يُنصح المؤسسات بقطع الاتصال فورًا مع هذه العناوين الضارة، مع الانتباه إلى أن عمليات الاستغلال التالية قد تنبع من بنى تحتية مختلفة لاحقًا