Los investigadores de ciberseguridad revelaron detalles de actividades de escaneo basadas en la nube a medida que se dirigen a 75 «puntos de exposición» diferentes a principios de este mes.
Las actividades observadas por Greynoise el 8 de mayo de 2025 se globalizaron en Japón, incluidas hasta 251 direcciones IP maliciosas alojadas por Amazon.
«Estos IPSS desencadenaron 75 comportamientos diferentes, incluidas las exploits de CVE, las sondas de configuración errónea y las actividades de reconocimiento», dijo la compañía de inteligencia de amenazas. «Todos los IP están en silencio antes y después del aumento, lo que indica un desafío de infraestructura temporal para una sola operación».
Se ha encontrado que los esfuerzos de escaneo se dirigen a una amplia gama de tecnologías, que incluyen Adobe Coldfusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch y Oracle Weblogic.
Las operaciones oportunistas muestran que los actores de amenaza estaban buscando indiscriminadamente sistemas susceptibles, que van desde intentos conocidos de explotar los CVE hasta la minería falsa de la infraestructura web y otras sondas de debilidad.
Adobe ColdFusion-CVE-2018-15961 (ejecución de código remoto) APACHE STRUTS-CVE-2017-5638 (inyección de OGNL) Confluencia Atlassian-CVE-2022-26134 (inyección OGNL) BASH-CVE-2014-6271 Ejecución remota) CGI Script Script SCAN ESCURSE Variable ESCURIMIENTO GIT CONFIGURACIÓN GIT GIT GIT CRUCATUR Cheque del autor
Un aspecto interesante es que la exploración de amplio espectro solo está activo el 8 de mayo, sin cambios significativos en la actividad antes y después de la fecha.
Greynoise dijo que 295 direcciones IP se escanearon en CVE-2018-15961, 265 IPS en Struts Apache y 260 IP en CVE-2015-1427. De estos, 262 IP se superpusieron entre la fusión fría y los puntales, y 251 IPS superpusieron los tres escaneos de vulnerabilidad.
«Este nivel de superposición se refiere a un solo operador o conjunto de herramientas implementadas en muchas IP temporales. Este es un patrón oportunista pero cada vez más común en los escaneos de orquesta», dice Greynoise.
Para mitigar la actividad, las organizaciones deben bloquear las direcciones IP maliciosas de inmediato, pero tenga en cuenta que la explotación de seguimiento puede surgir de diferentes infraestructuras.
Source link
