Pesquisadores de cibersegurança divulgaram detalhes de uma atividade coordenada de varredura baseada em nuvem que visou 75 pontos de exposição distintos no início deste mês.
A atividade, observada pela GreyNoise em 8 de maio de 2025, envolveu até 251 endereços IP maliciosos que estão todos geolocalizados no Japão e hospedados pela Amazon.
"Esses IPs desencadearam 75 comportamentos distintos, incluindo explorações de CVE, sondagens de má configuração e atividade de reconhecimento", disse a empresa de inteligência de ameaças.
Todos os IPs estavam silenciosos antes e depois do pico, indicando o aluguel temporário de infraestrutura para uma única operação.
Os esforços de varredura visaram uma ampla gama de tecnologias, desde o Adobe ColdFusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch e Oracle WebLogic, entre outros.
A operação oportunista variou desde tentativas de exploração para CVEs conhecidos até sondagens para má configurações e outros pontos fracos na infraestrutura web, indicando que os atores de ameaças estavam procurando indiscriminadamente por qualquer sistema suscetível.
-Adobe ColdFusion —
CVE-2018-15961
(Execução de código remoto)
-Apache Struts —
CVE-2017-5638
(Injeção OGNL)
-Atlassian Confluence —
CVE-2022-26134
(Injeção OGNL)
-Bash —
CVE-2014-6271
(Shellshock)
-Elasticsearch —
CVE-2015-1427
(Bypass de sandbox Groovy e execução de código remoto)
-Varredura de script CGI
-Exposição de variáveis de ambiente
-Crawlers de configuração Git
-Verificações de upload de shell, e
-Verificações de autor do WordPress
Um aspecto interessante é que a varredura de amplo espectro estava ativa apenas em 8 de maio, sem nenhuma mudança notável na atividade antes ou depois dessa data.
A GreyNoise disse que 295 endereços IP foram escaneados para o
CVE-2018-15961
, 265 IPs para o Apache Struts, e 260 IPs para o
CVE-2015-1427
.
Destes, 262 IPs se sobrepuseram entre ColdFusion e Struts e 251 IPs se sobrepuseram em todas as três varreduras de vulnerabilidade.
"Esse nível de sobreposição aponta para um único operador ou conjunto de ferramentas implantado em muitos IPs temporários — um padrão cada vez mais comum em varreduras oportunistas, mas orquestrais", disse a GreyNoise.
Para mitigar a atividade, as organizações precisam bloquear imediatamente os endereços IP maliciosos, embora seja importante notar que a exploração subsequente pode emanar de diferentes infraestruturas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...