2.5 Million+ Malicious Request From Hackers Attacking Adobe ColdFusion Servers

一次协调的漏洞利用活动在2025年圣诞假期期间，针对Adobe ColdFusion服务器以及其他47个以上的技术平台发起了超过250万次恶意请求。

该行动被归因于一个利用日本基础设施的单一威胁行为者。这表明攻击者正在进行高级扫描，以寻找可追溯到20年前的遗留漏洞和新漏洞。

此次活动中针对ColdFusion的阶段，利用了2023年至2024年间的10多个关键CVE，其中圣诞节当天的攻击流量达到了峰值，占攻击总流量的68%。

攻击者选择在假期停机期间进行，此时安全团队通常处于人手不足的状态，这表明其有意针对监控薄弱环节。

大约有5,940个请求针对20个国家的ColdFusion服务器，其中美国的会话数占68%。

CTG Server Limited托管的两条主要IP地址（134.122.136.119 和 134.122.136.96）生成了绝大部分的攻击流量。

攻击热力图（来源：Greynoise）

该威胁行为者利用ProjectDiscovery Interactsh（一种带外测试平台）进行回调验证，在oast.pro、oast.site和oast.me服务上部署了近10,000个独特的OAST域。

主要的攻击向量是利用WDDX反序列化漏洞来触发JNDI/LDAP注入，目标是com.sun.rowset.JdbcRowSetImpl小工具链。值得注意的是，针对ColdFusion的活动仅占整个行动的0.2%。

完整的活动分析揭示了对767个不同CVE的系统性侦察，这些CVE影响Java应用服务器、Web框架、CMS平台和企业应用程序。

最常被攻击的漏洞是CVE-2022-26134（Confluence OGNL注入），涉及12,481个请求，以及CVE-2014-6271（Shellshock），涉及8,527个请求。

网络指纹分析识别出4,118个独特的JA4H HTTP签名，表明攻击者可能使用了Nuclei或类似框架进行基于模板的扫描。

攻击者的基础设施显示出令人担忧的关联：CTG Server Limited此前曾托管针对香奈儿和卡地亚等奢侈品牌的网络钓鱼基础设施，并且曾通告Bogon路由，暗示其网络管理存在缺陷。

根据GreyNoise Labs的建议，各组织应立即封锁已识别的IP地址和ASN，实施针对已发布的JA4+指纹的签名规则，并优先修补ColdFusion和基于Java的基础设施。

此次活动的规模和复杂程度表明，攻击者具备典型“初始访问经纪人”的高级侦察能力，正在为后续攻击做准备。