2025年圣诞节期间爆发针对Adobe ColdFusion服务器的协同扫描攻击

安全研究机构发现，2025年圣诞节假期期间出现了一波针对Adobe ColdFusion服务器的协同扫描与漏洞利用活动，流量高峰集中在12月25日。研究人员统计到与ColdFusion相关的请求共计5,940次，攻击目标覆盖20个国家，表明攻击者倾向于在节假日期间网络运维和监控力度较弱的时段，加大针对已知漏洞的探测与利用。

研究显示，此次攻击流量高度集中，约98%的请求来自同一自治系统（AS152194）下的两个IP地址。这两个IP以每1至5秒的频率自动发送请求，部分时段甚至同步运作，呈现出协同基础设施的典型特征。攻击者还会针对同一目标轮换多种攻击手法，以提升攻击成功率和覆盖范围。

攻击者大量使用ProjectDiscovery的Interactsh平台进行外带回显（Out-of-band Callback）验证，通过外部回调确认探测是否成功。本次事件中，JNDI和LDAP注入是主要攻击向量，并配合多个回显域名追踪每次尝试的结果。

受影响的漏洞主要集中在2023年至2024年间ColdFusion发布的十余个已知CVE漏洞，同时结合了通用的远程代码执行和本地文件包含（LFI）测试，也观察到少量针对历史漏洞的验证请求。研究人员强调，攻击并非仅针对单一漏洞，而是采用组合式探测策略，覆盖从权限绕过、任意文件读取到远程代码执行等多个入口点。

此次ColdFusion攻击活动仅是更大规模扫描行动的一小部分，约占两个主力IP总扫描量的0.2%。同一基础设施累计发出超过250万次请求，尝试利用767个不同CVE漏洞，攻击目标涵盖47种以上技术栈，并使用近万个Interactsh回显域名。研究人员判断，这更像是一场有组织的漏洞侦察行动，可能符合初始访问代理（Initial Access Broker）的运营模式。