251个亚马逊托管IP被用于针对ColdFusion、Struts和Elasticsearch的漏洞扫描攻击
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现针对75个暴露点的云端扫描活动,涉及251个日本恶意IP。这些IP于5月8日进行扫描,目标包括多个CVE漏洞。分析表明,单一操作者通过临时IP进行组织化扫描,建议企业封禁相关IP并加强防护。
🎯
关键要点
- 网络安全研究人员发现针对75个暴露点的云端扫描活动,涉及251个日本恶意IP。
- 扫描活动由威胁情报公司GreyNoise于2025年5月8日发现,目标包括多个CVE漏洞。
- 扫描活动表现出75种不同的行为模式,包括CVE漏洞利用和配置错误探测。
- 所有IP在流量激增前后均保持静默,表明这是为单次行动租用的临时基础设施。
- 295个IP扫描了ColdFusion漏洞,265个IP扫描了Apache Struts,260个IP扫描了Elasticsearch漏洞。
- 分析表明存在单一操作者或工具集通过大量临时IP进行组织化扫描。
- 建议企业封禁相关恶意IP,并加强防护措施,包括修补CVE漏洞和监控异常扫描行为。
❓
延伸问答
这次扫描活动的目标是什么?
扫描活动的目标包括ColdFusion、Apache Struts和Elasticsearch等多个CVE漏洞。
这251个恶意IP的来源是什么?
这些恶意IP均位于日本,并由亚马逊云服务托管。
扫描活动的主要特征是什么?
扫描活动表现出75种不同的行为模式,包括CVE漏洞利用和配置错误探测。
企业应该如何应对这次扫描活动?
企业应立即封禁相关恶意IP,并加强防护措施,如修补CVE漏洞和监控异常扫描行为。
这次扫描活动的时间是什么时候?
扫描活动在2025年5月8日进行。
分析表明这次扫描活动的操作者是怎样的?
分析表明存在单一操作者或工具集通过大量临时IP进行组织化扫描。
➡️
