251 个亚马逊托管 IP 被用于针对 ColdFusion、Struts 和 Elasticsearch 的漏洞扫描攻击

网络安全研究人员近日披露了一起针对75个不同"暴露点"的云端协同扫描活动细节。该活动由威胁情报公司GreyNoise于2025年5月8日发现，涉及251个恶意IP地址，这些IP均位于日本并由亚马逊云服务托管。

扫描活动技术特征

GreyNoise表示："这些IP触发了75种不同的行为模式，包括CVE漏洞利用、配置错误探测和侦察活动。所有IP在流量激增前后均保持静默，表明这是为单次行动租用的临时基础设施。"

扫描目标涵盖多项主流技术：

Adobe ColdFusion — CVE-2018-15961（远程代码执行）Apache Struts — CVE-2017-5638（OGNL注入）Atlassian Confluence — CVE-2022-26134（OGNL注入）Bash — CVE-2014-6271（Shellshock漏洞）Elasticsearch — CVE-2015-1427（Groovy沙箱绕过及远程代码执行）CGI脚本扫描环境变量暴露探测Git配置爬取Shell上传检测WordPress作者信息检查攻击模式分析

值得注意的是，这次广谱扫描仅在5月8日当天活跃，前后均未观察到明显活动。数据显示：

295个IP扫描了ColdFusion漏洞CVE-2018-15961265个IP扫描了Apache Struts260个IP扫描了Elasticsearch漏洞CVE-2015-1427 其中262个IP同时扫描了ColdFusion和Struts，251个IP参与了全部三项漏洞扫描。

GreyNoise分析指出："这种高度重叠表明存在单一操作者或工具集通过大量临时IP进行部署——这在机会性但组织化的扫描中已成为常见模式。"

防护建议

企业应立即封禁相关恶意IP地址。但需注意，后续攻击可能来自不同基础设施。建议同时加强以下防护措施：

及时修补列出的所有CVE漏洞检查系统是否存在配置错误监控异常扫描行为对关键系统实施网络访问控制