網絡安全研究人員近日披露了一起針對75個不同"暴露點"的云端協同掃描活動細節。該活動由威脅情報公司GreyNoise于2025年5月8日發現，涉及251個惡意IP地址，這些IP均位于日本并由亞馬遜云服務托管。

掃描活動技術特征

GreyNoise表示："這些IP觸發了75種不同的行為模式，包括CVE漏洞利用、配置錯誤探測和偵察活動。所有IP在流量激增前后均保持靜默，表明這是為單次行動租用的臨時基礎設施。"

掃描目標涵蓋多項主流技術：

• Adobe ColdFusion — CVE-2018-15961（遠程代碼執行）
• Apache Struts — CVE-2017-5638（OGNL注入）
• Atlassian Confluence — CVE-2022-26134（OGNL注入）
• Bash — CVE-2014-6271（Shellshock漏洞）
• Elasticsearch — CVE-2015-1427（Groovy沙箱繞過及遠程代碼執行）
• CGI腳本掃描
• 環境變量暴露探測
• Git配置爬取
• Shell上傳檢測
• WordPress作者信息檢查

攻擊模式分析

值得注意的是，這次廣譜掃描僅在5月8日當天活躍，前后均未觀察到明顯活動。數據顯示：

• 295個IP掃描了ColdFusion漏洞CVE-2018-15961
• 265個IP掃描了Apache Struts
• 260個IP掃描了Elasticsearch漏洞CVE-2015-1427 其中262個IP同時掃描了ColdFusion和Struts，251個IP參與了全部三項漏洞掃描。

GreyNoise分析指出："這種高度重疊表明存在單一操作者或工具集通過大量臨時IP進行部署——這在機會性但組織化的掃描中已成為常見模式。"

防護建議

企業應立即封禁相關惡意IP地址。但需注意，后續攻擊可能來自不同基礎設施。建議同時加強以下防護措施：

• 及時修補列出的所有CVE漏洞
• 檢查系統是否存在配置錯誤
• 監控異常掃描行為
• 對關鍵系統實施網絡訪問控制